Capítulo 5. Problemas a estar atento em bookworm

Conforme é descrito em Secção 2.2, “Áreas do arquivo”, os pacotes de firmware non-free são agora servidos a partir de um componente dedicado do arquivo, chamado non-free firmware. Para assegurar que os pacotes de firmware instalados tenham as devidas actualizações, são necessárias alterações à configuração APT. Assumindo que apenas o componente non-free foi acrescentado à lista de fontes APT para instalar firmware, a entrada da lista de fontes APT pode ser assim:

deb https://deb.debian.org/debian bookworm main non-free-firmware

Se este capítulo lhe foi apontado pelo apt pode prevenir que seja continuamente notificado acerca desta alteração ao criar um ficheiro apt.conf(5) chamado /etc/apt/apt.conf.d/no-bookworm-firmware.conf com o seguinte conteúdo:

APT::Get::Update::SourceListWarnings::NonFreeFirmware "false";

O pacote ntp, que era a forma predefinida de definir o relógio do sistema a partir de um servidor de Network Time Protocol (NTP), foi substituido por ntpsec.

A maioria dos utilizadores não necessitará de tomar qualquer ação para fazer a transição de ntp para ntpsec.

Em bookworm também existes outros pacotes que disponibilizam um serviço similar. A predefinição em Debian agora é systemd-timesyncd, que poderá ser adequado para utilizadores que apenas necessitam de um cliente ntp para acertar o relógio. Bookwork também inclui chrony e openntpd, os quais suportam funcionalidades mais avançadas, tais como operar o seu próprio servidor de NTP.

Puppet foi atualizado de 5 para 7, saltando a série Puppet 6. Isto introduz alterações maiores ao ecosistema Puppet.

A aplicação clássica Puppet Master 5.5.x baseada em Ruby foi abandonada pelos autores e já não está disponível em Debian. Foi substituida por Puppet Server 7.x, que é disponibilizada pelo pacote puppetserver. Este pacote é automaticamente instalado como dependência do pacote transicional puppet-master.

Em alguns casos, Puppet Server substitui o Puppet Master, mas ainda assim deve rever os ficheiros de configuração que estão disponíveis em /etc/puppet/puppetserver para se assegurar que as novas predefinições são adequadas à sua instalação. Em particular o formato antigo para o ficheiro auth.conf que foi depreciado, para mais detalhes veja a documentação de auth.conf.

A abordagem recomendada é atualizar o servidor antes dos clientes. Puppet 7 Server é compatível com clientes mais antigos; um Puppet 5 Server pode mesmo assim lidar com agentes atualizados mas não poderá registar novos agentes Puppet 7. Por isso se instalar agentes Puppet 7 antes de atualizar o servidor, não os poderá acrescentar à frota.

O pacote puppet foi substituido pelo pacote puppet-agent e agora é um pacote de transição para assegurar uma atualização sem sobressaltos.

Finalmente, o pacote puppetdb foi removido em bullseye mas foi reintroduzido em bookworm.

A popular ferramenta youtube-dl, que pode descarregar vídeos de uma grande variedade de websites (incluindo, mas não apenas, YouTube) já não está incluido em Debian. Em vez disso, foi substituida com um pacote transicional vazio que obtém o pacote yt-dlp. yt-dlp é um fork de youtube-dl onde está atualmente a decorrer novo desenvolvimento.

Não são fornecidos invólucros de compatibilidade, por isso terá de alterar os seus scripts e comportamento para chamar yt-dlp em vez de youtube-dl. A funcionalidade deve ser basicamente a mesma, apesar de algumas opções e detalhes terem mudado. Para detalhes certifique-se que verifica a man page do yt-dlp, em particular a seção Differences in default behavior.

Os pacotes fcitx e fcitx5 disponbilizam a versão 4 e a versão 5 do popular Fcitx Input Method Framework. Seguindo a recomendação dos autores originais, já não podem ser co-instalados no mesmo sistema operativo. Os utilizadores devem determinar que versão do Fcitx é para manter se os tiverem co-instalado previamente fcitx e fcitx5.

Antes da atualização, os utilizadores são fortemente encorajados a purgar todos os pacotes relacionados com a versão não desejada de Fcitx (fcitx-* para Fcitx 4, e fcitx5-* para Fcitx 5). Quando a atualização tiver terminado, considere executar novamente im-config para escolher a framework do método de entrada desejado a ser utilizado no sistema.

Pode ler informação com o enquadramento no anúncio publicado na mailing list (texto escrito em Chinês Simplificado).

Ao contrário de bullseye, que tinha a versão de MariaDB nos nomes dos pacotes (e.g. mariadb-server-10.5 e mariadb-client-10.5), em bookworm os nomes dos pacotes equivalentes de MariaDB 10.11 agora são totalmente sem versão (e.g. mariadb-server ou mariadb-client). A versão de MariaDB continua a ser visível nos metadados de versão de pacote.

Existe pelo menos um cenário conhecido de atualização (Bug #1035949) em que a transição para nomes de pacotes sem versão falha: correr

apt-get install default-mysql-server

pode falhar quando mariadb-client-10.5 e o ficheiro /usr/bin/mariadb-admin contido nele for removido antes do serviço SysV do servidor MariaDB emitir um shutdown, que utiliza mariadb-admin. Para contornar, correr

apt upgrade

antes de correr

apt full-upgrade

.

Para mais informação acerca das alterações de nomes de pacotes em MariaDB, veja /usr/share/doc/mariadb-server/NEWS.Debian.gz.

O pacote rsyslog já não é necessário na maioria dos sisemas e pode removê-lo.

Muitos programas produzem mensagens de log para informar o utilizador do que estão a fazer. Estas mensagens podes ser geridas pelo “journal” do systemd ou por um “syslog daemon” tal como o rsyslod.

Em bullseye, era instalado rsyslog por predefinição e o journal de systemd era configurado para encaminhar as mensagens de log para rsyslog, que escrevia as mensagens em vários ficheiros de texto, como por exemplo /var/log/syslog.

A partir de bookworm. rsyslog já não é instalado por predefinição. Se não quiser continuar a utilizar rsyslog, após a atualização pode marcar instalado automaticamente com

apt-mark auto rsyslog

e depois um

apt autoremove

irá removê-lo, se possível. Se atualizou a partir de lançamentos de Debian mais antigos, e não aceitou as definições de configurações predefinidas, o journal poderá não ter sido configurado para gravar as mensagens para o armazenamento permanente: as instruções para o habilitar estão em journald.conf(5).

Se decidir mudar de rsyslog pode utilizar o comando journalctl para ler as mensagens de log, que são guardadas em formato binário em /var/log/journal. Por exemplo,

journalctl -e

mostras as mensagens de log mais recentes no journal e

journalctl -ef

mostras as novas mensagens à medida que são escritas (similar a correr

tail -f /var/log/syslog

).

rsyslog agora usa por predefinição “timestamps de alta precisão” que podem afetar outros programas que analizam os logs dos sistema. Existe informação adicional acerca do como personalizar esta definição em rsyslog.conf(5).

A alteração nos timestamp pode necessitar que as regras criadas localmente para logcheck necessitem ser atualizadas. logcheck verifica as mensagens no log do sistema (produzidas por systemd-journald ou por rsyslog) contra uma base de dados personalizável de expressões regulares conhecidas como regras. As regras que coincidam com a hora que a mensagem foi produzida irão necessitar ser atualizadas para coincidir com o novo formato do rsyslog. As regras predefinidas, que são diponibilizadas pelo pacote logcheck-database foram atualizadas, mas outras regras, incluindo as criadas localmente, podem necessitar de ser atualizadas para reconhecer o novo formato. Veja /usr/share/doc/logcheck-database/NEWS.Debian.gz por um script para ajudar a atualizar as regras logcheck locais.

rsyslog mudou os ficheiros que cria, e alguns ficheiros em /var/log podem ser apagados.

Se continuar a utilizar rsyslod (veja Secção 5.1.7, “Alterações ao log do sistema”), alguns ficheiros de log em /var/log já não serão criados por predefinição. As mensagens que eram escritas nesses ficheiros também o são em /var/log/syslog mas já não são criados por predefinição. Tudo o que costumava ser escrito nesses ficheiros ainda estará disponível em /var/log/syslog.

Os ficheiros que já não são criados são:

OpenLDAP 2.5 é um novo lançamento maior e inclui várias alterações incompatíveis conforme é descrito no anúncio do lançamento dos autores. Dependendo da configuração, o serviço slapd pode permanecer parado após a atualização, até serem completadas as atualizações de configuração necessárias.

As seguintes são algumas das alterações conhecidas como incompatíveis:

As instruções para completar a atualização e continuar com o serviço slapd podem ser encontradas em /usr/share/doc/slapd/README.Debian.gz. Deve também consultar as notas de atualização do autor original.

Desde há muito tempo que grub utilizava o pacote os-prober para detetar outros sistemas operativos instalados num computador de forma a que os possa ser acrescentar ao menu de arranque. Infelizmente, isto pode ser problemático nalguns casos (e.g. quando estão a correr máquinas virtuais), por isso agora foi desabilitado por predefinição no lançamento mais recente.

Se estiver a utilizar o GRUB para arrancar o seu sistema e quiser continuar a ter outros sistemas operativos listados no menu de arranque, ou edite o ficheiro /etc/default/grub, assegure-se que tem a definição GRUB_DISABLE_OS_PROBER=false e corra novamente update-grub, ou corra

dpkg-reconfigure <GRUB_PACKAGE>

para alterar esta e outras definições do GRUB de uma forma mais amigável.

Muitas aplicações GNOME mudaram do toolkit gráfico GTK3 para o GTK4. Infelizmente isto tornou muitas aplicações muito menos usáveis com leitores de ecrã tais como orca.

Se depender de um leitor de ecrã deve considerar mudar para um desktop diferente tal como o Mate, que tem um melhor suporte de usabilidade. Pode fazer isto ao instalar o pacote mate-desktop-environment. Está disponível informação acerca de como utilizar Orca sob Mate aqui.

Para consistência com os autores originais e outras distribuições, o serviço polkit (antigamente conhecido como PolicyKit), que permite a programas não-priviligiados aceder a serviços priviligiados do sistema, alterou a sintaxe e localização para as regras locais das políticas. Agora deve escrever as regras locais para personalizar a política de segurança em JavaScript, e colocá-las em /etc/polkit-1/rules.d/*.rules. Podem ser encontradas regras de exemplo com o novo formato em /usr/share/doc/polkitd/examples/ e em polkit(8).

Anteriormente, as regras podiam ser escritas em formato pkla e colocadas em subdirectórios de /etc/polkit-1/localauthority ou em /var/lib/polkit-1/localauthority. No entanto, agora os ficheiros .pkla devem ser considerados depreceados, e apenas irão funcionar se estiver instalado o pacote polkit-pkla. Este pacote usualmente irá ser instalado automaticamente quando atualizar para bookworm, mas é provável que não venha a ser incluido em futuros lançamentos de Debian, por isso qualquer override de política local terá de ser migrado para o formato JavaScript.

Debian adoptou um layout de sistema de ficheiros, referido como “merged-/usr”, que já não inlcui os antigos directórios /bin, /sbin, /lib, ou as variantes opcionais tais como /lib64. No novo layout, os directórios antigos são substituidos por symlinks para as localizações correspondentes /usr/bin, /usr/sbin, /usr/lib e /usr/lib64. Isto significa que, por exemplo, ambos os /bin/bash e /usr/bin/bash irão lançar bash.

Para sistemas instalados como buster ou bullseye não haverá qualquer alteração, já que o novo layout de sistema de ficheiros já é predefinido nestes lançamentos. No entanto, o antigo layout já não é suportado, e os sistemas que o utilizam serão convertidos para o novo layout quando atualizarem para bookworm.

A conversão para o novo layout não deverá ter impacto na maioria dos utilizadores. Todos os ficheiros são movidos automaticamente para as suas novas localizações mesmo que tenham sido instalados localmente ou venham de pacotes não disponibilizados por Debian, e os caminhos definidos como /bin/sh continuam a funcionar. No entanto existem alguns potenciais problemas:

Para mais informação, veja The Case for the /usr merge e a resolução deo Debian Technical Committee .

Debian suporta oficialmente atualizações de um lançamento estável para o seguinte, e.g. de bullseye para bookworm. As atualizações de buster para bookworm não são suportadas, e irão falhar devido ao Bug #993755, com o seguinte erro:

Setting up libc6:armel (2.36-9) ...
/usr/bin/perl: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory
dpkg: error processing package libc6:armel (--configure):
installed libc6:armel package post-installation script subprocess returned error exit status 127
        

É no entanto possível recuperar manualmente desta situação particular ao forçar a instalação do novo libcrypt1:

# cd $(mktemp -d)
# apt download libcrypt1
# dpkg-deb -x libcrypt1_*.deb .
# cp -ra lib/* /lib/
# apt --fix-broken install
        

Quando apt full-upgrade tiver terminado, a actualização “formal” estará completa. Para o upgrade para bookworm não é necessário tomar ações especiais antes de reiniciar.

Existem alguns pacotes onde Debian não pode prometer disponibilizar backports mínimos para problemas de segurança. Estes estão cobertos nas seguintes subsecções.

	Nota
	O pacote debian-security-support ajuda a seguir o estado do suporte de segurança dos pacotes instalados.

Os pacotes do interpretador Python disponibilizados por Debian (python3.11 e pypy3) são agora marcados como sendo geridos externamente, de acordo com PEP-668. A versão de python3-pip disponibilizada por Debian segue isto, e recusar-se-á a instalar manualmente pacotes dos interpretadores de python em Debian, a menos que seja especificada a opção --break-system-packages.

Se necessitar instalar uma aplicação (ou versão) de Python que não esteja empacotada em Debian, recomendamos que a instale com pipx (no pacote Debian pipx). pipx irá criar um ambiente isolado das outras aplicações e módulos Python do sistema e instalar lá a aplicação e as suas dependências.

Se necessitar instalar um módulo de biblioteca de Python (ou versão) que não esteja empacotada em Debian, recomendamos que seja instalado num virtualenv, onde for possível. Pode criar virtualenvs com o módulo venv stdlib de Python (no pacote python3-venv) ou a ferramenta Python de terceiros virtualenv (no pacote virtualenv de Debian). Por exemplo, em vez de correr pip install --user foo, corra: mkdir -p ~/.venvs && python3 -m venv ~/.venvs/foo && ~/.venvs/foo/bin/python -m pip install foo para o instalar num virtualenv dedicado.

Para mais detalhes veja /usr/share/doc/python3.11/README.venv.

O reprodutor de vídeo VLC suporta descodificação de vídeo acelerada por hardware e codificação via VA-API e VDPAU. No entanto, o suporte para VA-API do VLC é relacionado com a versão de FFmpeg. Por o FFmpeg ter sido atualizado para o branch 5.x, o suporte a VA-API do VLC foi desabilitado. Os utilizadores de GPUs com suporte nativo de VA-API (e.g., GPUs Intel e AMD) podem experimentar uma utilização alta de CPU durante a reprodução de vídeo e codificação.

Os utilizadores de GPUs que oferecem suporte VDPAU (e.g. NVIDIA com controladores não-livres) não são afectados por este problema.

O suporte a VA-API e VDPAU pode ser verificado com vainfo e vdpauinfo (cada um disponibilizado num pacote com o mesmo nome).

O novo pacote systemd-resolved não irá ser instalado automaticamente na atualização. Se estava a utilizar o serviço de sistema systemd-resolved, por favor instale manualmente o pacote após a atualização, e note que até que seja instalado, a resolução de DNS poderá já não funcionar já que o serviço já não estará presente no sistema. Instalar este pacote irá dar automaticamente dar o controlo a systemd-resolved sobre /etc/resolv.cond. Para mais informação acerca de systemd-resolved, consulte a documentação oficial. Note que systemd-resolved não foi, e ainda não é, o resolvedor de DNS predefinido em Debian. Se não configurou a sua máquina para utilizar systemd-resolved como o resolvedor de DNS, não é necessária qualquer ação.

O novo pacote systemd-boot não será instalado automaticamente nos upgrades. Se estava a utilizar o systemd-boot, por favor instale o pacote manualmente, e note que até o fazer, será utilizada a versão mais antiga de systemd-boot como carregador de arranque. Instalar este pacote irá configurar automaticamente o systemd-boot como o carregador de arranque da máquina. O carregador de arranque predefinido em Debian ainda é o GRUB. Se não configurou a máquina para utilizar systemd-boot como carregador de arranque, não é necessária qualquer ação.

Os serviços opcionais systemd-journal-gatewayd e systemd-journal-remote agora são compilados sem suporte para GnuTLS, que significa que a opção --trust já não é disponibilizada por qualquer dos programas, e será lançado um erro se for especificado.

Ocorreram várias alterações em adduser. A alteração mais proeminente é que --disabled-password e --disabled-login agora são funcionalmente idênticos. Para mais detalhes, por favor leia o /usr/share/doc/adduser/NEWS.Debian.gz.

O lógica de nomes previsíveis em systemd para interfaces de rede foi estendida para gerar nomes estáveis para de informação de dispositivo Xen netfront. Isto significa que em vez dos antigos nomes atribuidos pelo kernel, agora os interfaces têm nomes estáveis na forma enX#. Por favor adapte o seu sistema antes de reiniciar após a atualização. Pode ser encontrada mais alguma informação na página wiki NetworkInterfaceNames.

dash, que por predefinição disponibiliza a shell de sistema /bin/sh em Debian, foi alterada para tratar o circunflexo (^) como um caracter literal, tal como sempre foi pretendido no comportamento compatível com POSIX. Isto significa que em bookworm [^0-9] já não significa “não 0 até 9” mas sim “0 a 9 e ^”.

O utilitário netcat para ler e escrever dados em ligações de rede suporta abstract sockets, e usa-as por predefinição em algumas circunstências.

Por predefinição, netcat é disponibilizado por netcat-traditional. No entanto, se netcat for disponibilizado pelo pacote netcat-openbsd e estiver a utilizar um socket AF_UNIX, então esta nova predefinição aplica-se. Neste caso a opção -U para nc irá agora interpretar um argumento que começe por um @ como pedindo um abstract socket em vez de um nome de ficheiro que começe por um @ no directório atual. Isto pode ter implicações de segurança porque as permissões dos sistemas de ficheiros já não podem ser utilizadas para controlar o acesso a um abstract socket. Pode continuar a utilizar um nome de ficheiro que começe por um @ colocando um prefixo no nome com ./ ou ao especificar um caminho absoluto.

Os seguintes são uma lista de pacotes conhecidos e relevantes que são obsoletos (para uma descrição, veja a Secção 4.8, “Pacotes obsoletos” ).

A lista de pacotes obsoletos inclui:

Com o próximo lançamento de Debian 13 (nome de código trixie) serão depreciadas algumas funcionalidades. Os utilizadores irão necessitar de migrar para outras alternativas para prevenir problemas ao actualizar para 13.

Isto inclui as seguintes funcionalidades: