Kapitel 5. Dinge, die Sie über Bookworm wissen sollten

Wie in Abschnitt 2.2, „Archivbereiche“ beschrieben, werden Pakete mit nicht-freier Firmware jetzt in einem eigenen dedizierten Archivbereich namens non-free-firmware bereitgestellt. Um sicherzustellen, dass installierte nicht-freie Firmware-Pakete korrekt aktualisiert werden können, sind Änderungen an der APT-Konfiguration empfohlen. Davon ausgehend, dass der Bereich non-free in der APT source-list nur aktiviert wurde, um Firmware zu installieren, empfehlen wir, dass die APT source-list wie folgt geändert wird:

deb https://deb.debian.org/debian bookworm main non-free-firmware

Wenn apt Sie auf dieses Dokument verwiesen hat, können Sie den Hinweis in apt für die Zukunft unterdrücken, indem Sie eine apt.conf(5)-Datei namens /etc/apt/apt.conf.d/no-bookworm-firmware.conf mit folgendem Inhalt anlegen:

APT::Get::Update::SourceListWarnings::NonFreeFirmware "false";

Das ntp-Paket, das standardmäßig genutzt wurde, um die Systemzeit mit einem NTP-Server (Network Time Protocol) zu synchronisieren, wurde durch ntpsec ersetzt.

Die meisten Nutzer werden für den Übergang von ntp auf ntpsec keine besonderen Maßnahmen ergreifen müssen.

In Bookworm gibt es auch noch weitere Pakete, die eine ähnliche Funktionalität bieten. Der Debian-Standard ist jetzt systemd-timesyncd, was passend sein kann, wenn Sie als Benutzer lediglich einen ntp-Client benötigen, um die Uhr zu stellen. Bookworm enthält außerdem auch chrony und openntpd, die fortgeschrittene Funktionalitäten bieten, wie z.B. für den Betrieb eines eigenen NTP-Servers.

Puppet wurde von Version 5 auf 7 aktualisiert, die Puppet-6-Serie wurde dabei komplett übersprungen. Dies zieht größere Änderungen am Puppet-Ecosystem nach sich.

Die klassische Ruby-basierte Applikation Puppet Master 5.5.x wurde von den Originalautoren abgekündigt und ist nicht mehr in Debian verfügbar. Sie wurde durch Puppet Server 7.x ersetzt, der im Paket puppetserver enthalten ist. Dieses Paket wird aufgrund seiner Abhängigkeit vom Übergangspaket puppet-master automatisch installiert.

In einigen Fällen ist Puppet Server ein kompatibler Ersatz für Puppet Master, aber Sie sollten die Konfigurationsdateien unter /etc/puppet/puppetserver kontrollieren, um sicherzustellen, dass die neuen Standardeinstellungen für Ihr Umfeld passen. Insbesondere ist das altbekannte Format für die auth.conf-Datei veraltet; Details finden Sie unter auth.conf documentation.

Die empfohlene Vorgehensweise ist, den Server vor den Clients hochzurüsten. Der Puppet-7-Server ist rückwärts-kompatibel mit älteren Clients; ein Puppet-5-Server kann noch mit hochgerüsteten Agents umgehen, aber es können keine neuen Puppet-7-Agents registriert werden. Wenn Sie also neue Puppet-7-Agents aufsetzen, bevor der Server hochgerüstet ist, können Sie diese Agents nicht zum System hinzufügen.

Das Paket puppet wurde durch puppet-agent ersetzt und ist jetzt lediglich ein Übergangspaket mit dem Zweck, ein sauberes Upgrade sicherzustellen.

Und noch ein Hinweis auf das puppetdb-Paket: dieses wurde in Bullseye entfernt, jetzt aber in Bookworm wieder erneut hinzugefügt.

Das populäre Werkzeug youtube-dl, mit dem Videos von einer großen Anzahl von Websites (inklusive, aber nicht beschränkt auf Youtube) heruntergeladen werden können, ist nicht mehr in Debian enthalten. Es wurde stattdessen ersetzt durch durch ein leeres Übergangspaket, welches das Paket yt-dlp als Ersatz installiert. yt-dlp ist eine Abspaltung von youtube-dl, und hier findet aktuell auch die Weiterentwicklung statt.

Es werden keine Wrapper-Programme zwecks Rückwärtskompatibilität bereitgestellt, daher müssen Sie Ihre Skripte und Arbeitsweisen anpassen, um jetzt yt-dlp statt youtube-dl aufzurufen. Die Funktionalität sollte überwiegend identisch sein, allerdings haben sich einige Optionen und Verhaltensweisen geändert. Schauen Sie in yt-dlp's Handbuchseite, wenn Sie Detailinformationen benötigen, und dabei speziell in den Abschnitt Differences in default behavior.

Die Pakete fcitx und fcitx5 stellen die Versionen 4 und 5 des populären Fcitx-Rahmenwerks für Eingabemethoden bereit. Folgend der Empfehlung der Originalautoren können diese nicht mehr zeitgleich auf einem Betriebssystem installiert sein. Benutzer sollten festlegen, welche der beiden Versionen sie behalten möchten, wenn fcitx und fcitx5 parallel installiert sind.

Vor dem Upgrade wird dringend empfohlen, dass alle Pakete der nicht mehr gewünschten Fcitx-Version (fcitx-* für Fcitx 4, und fcitx5-* für Fcitx 5) vollständig vom System entfernt werden. Wenn das Upgrade abgeschlossen ist, sollten Sie im-config erneut ausführen, um die gewünschte Eingabemethode auszuwählen, die jetzt im System verwendet werden soll.

Sie finden weitere Hintergrundinformationen in dieser Ankündigung auf der Mailingliste (geschrieben in vereinfachtem Chinesisch).

Anders als in Bullseye, wo die MariaDB-Version im Paketnamen enthalten war (z.B. mariadb-server-10.5 und mariadb-client-10.5), sind die entsprechenden MariaDB-10.11-Paketnamen komplett versionslos (z.B. mariadb-server oder mariadb-client). Die MariaDB-Version ist aber immer noch in den Paketversions-Metadaten ersichtlich.

Es gibt mindestens ein bekanntes Upgrade-Szenario (Bug #1035949), in dem der Übergang zu den versionslosen Paketnamen misslingt: das Ausführen von

apt-get install default-mysql-server

könnte fehlschlagen, wenn mariadb-client-10.5 und die Datei /usr/bin/mariadb-admin darin entfernt wird, bevor der MariaDB server SysV init Dienst einen Shutdown ausgelöst hat, was mariadb-admin nutzt. Der Workaround für dieses Problem ist das Ausführen von

apt upgrade

vor

apt full-upgrade

.

Weitere Informationen über die Paketnamen-Änderungen in MariaDB finden Sie in /usr/share/doc/mariadb-server/NEWS.Debian.gz.

Das Paket rsyslog wird auf den meisten Systemen nicht mehr benötigt und Sie können es unter Umständen entfernen.

Viele Programme erzeugen Log-Meldungen, um den Benutzer über die Programmaktivitäten zu informieren. Diese Meldungen können von systemd's „journal“ oder von einem „syslog-Daemon“ wie rsyslog verwaltet werden.

In bullseye wurde rsyslog standardmäßig installiert, und das systemd-Journal war konfiguriert, Log-Meldungen an rsyslog weiterzuleiten, der die Meldungen dann in verschiedene Textdateien wie /var/log/syslog schrieb.

Ab der Veröffentlichung von bookworm wird rsyslog nicht mehr standardmäßig installiert. Wenn Sie rsyslog nicht weiter nutzen möchten, können Sie es nach dem Upgrade als automatisch installiert markieren mit

apt-mark auto rsyslog

und dann wird der Aufruf

apt autoremove

es entfernen, falls möglich. Falls Sie Ihr System früher schon von älteren Debian-Versionen aus hochgerüstet haben, und dabei nicht die Standard-Konfigurationseinstellungen übernommen haben, könnte es sein, dass systemd's journal noch nicht dafür konfiguriert ist, die Meldungen in den nichtflüchtigen Speicher zu schreiben. Instruktionen, um dies zu aktivieren, finden Sie in journald.conf(5).

Wenn Sie entscheiden, sich von rsyslog zu verabschieden, können Sie in Zukunft den Befehl journalctl verwenden, um die Log-Meldungen zu lesen, die in binärem Format unter /var/log/journal abgelegt sind. Zum Beispiel zeigt

journalctl -e

die neuesten Meldungen aus dem Journal an und

journalctl -ef

zeigt neue Meldungen automatisch direkt an, sobald sie herein kommen, vergleichbar zum früheren

tail -f /var/log/syslog

).

rsyslog setzt jetzt standardmäßig auf „hoch-präzise Zeitstempel“; dies kann andere Programme beeinträchtigen, die die System-Logdateien analysieren. Weitere Informationen darüber, wie Sie diese Einstellung anpassen können, finden Sie in rsyslog.conf(5).

Die Änderung der Zeitstempel könnte es erfordern, dass lokal erstellte Regeln für logcheck angepasst werden. logcheck prüft Meldungen im Systemlog (erstellt von systemd-journald oder rsyslog) anhand einer personalisierbaren Datenbank regulärer Ausdrücke. Regeln aus dieser Datenbank, die auf den Zeitpunkt der Meldung prüfen, müssen an das neue rsyslog-Format angepasst werden. Die Standardregeln aus dem Paket logcheck-database wurden aktualisiert, aber andere, inklusive der von Ihnen selbst erstellten, könnten eine Anpassung erfordern, um das neue Format verarbeiten zu können. In /usr/share/doc/logcheck-database/NEWS.Debian.gz finden Sie ein Skript, das Ihnen hilft, lokale logcheck-Regeln zu aktualisieren.

rsyslog wurde angepasst in Bezug darauf, welche Logdateien es erstellt, und einige Dateien in /var/log können jetzt eventuell gelöscht werden.

Wenn Sie rsyslog in Zukunft weiter verwenden möchten (siehe Abschnitt 5.1.7, „Änderungen am Protokollsystem“), betrifft Sie eine Änderung, aufgrund derer einige Logdateien in /var/log standardmäßig nicht mehr erzeugt werden. All die Meldungen, die sonst in diese Dateien eingetragen wurden, sind auch in /var/log/syslog zu finden.

Die nicht mehr erzeugten Dateien sind:

OpenLDAP 2.5 ist ein neues Haupt-Release und enthält mehrere inkompatible Änderungen, die in der Veröffentlichungsankündigung von upstream dokumentiert sind. In Abhängigkeit von der Konfiguration könnte der slapd-Dienst in gestopptem Zustand verbleiben, bis nötige Konfigurationsanpassungen erfolgt sind.

Es folgen einige der inkompatiblen Änderungen:

Anweisungen, wie Sie das Upgrade vervollständigen und den slapd-Dienst wieder reaktivieren, finden Sie in /usr/share/doc/slapd/README.Debian.gz. Sie sollten auch die Aktualisierungshinweise von Upstream konsultieren.

Seit langer Zeit hat grub das os-prober-Paket genutzt, um andere Betriebssyteme auf dem Rechner zu detektieren, so dass Einträge im Boot-Menü für diese Betriebssysteme angelegt werden konnten. Unglücklicherweise kann dies in speziellen Fällen problematisch sein (z.B. wenn virtuelle Gast-Maschinen laufen), und wurde deshalb im neuesten Upstream-Release standardmäßig deaktiviert.

Wenn Sie GRUB nutzen, um Ihr System zu booten und weiterhin Einträge für andere Betriebssysteme im Boot-Menü haben möchten, können Sie diese Standardeinstellung ändern. Entweder ändern Sie die Datei /etc/default/grub, so dass diese die Einstellung GRUB_DISABLE_OS_PROBER=false enthält, und führen update-grub erneut aus, oder Sie nutzen

dpkg-reconfigure <GRUB_PACKAGE>

um diese und einige andere GRUB-Einstellungen auf eine benutzerfreundliche Art anzupassen.

Viele GNOME-Applikationen wurden von dem GTK3 Grafik-Toolkit auf GTK4 umgestellt. Leider hat das den Effekt, dass viele Applikationen weniger gut mit einem Bildschirmvorlese-Programm wie orca zu nutzen sind.

Wenn Sie zwingend ein Bildschirmvorlese-Programm benötigen, sollten Sie in Erwägung ziehen, auf eine andere Arbeitsplatzumgebung wie Mate umzusteigen, die eine bessere Funktionalität bezüglich Barrierefreiheit bietet. Sie erledigen das, indem Sie das Paket mate-desktop-environment installieren. Informationen, wie Sie Orca in der Mate-Umgebung verwenden, finden Sie hier.

Zwecks Konsistenz mit Upstream und anderen Distributionen hat der polkit-Dienst (früher PolicyKit; erlaubt unprivilegierten Programmen den Zugriff auf privilegierte Systemdienste) die Syntax und den Speicherort der lokalen Policy-Regeln geändert. Sie sollten jetzt lokale Regeln zur Anpassung der Sicherheits-Richtlinien im JavaScript-Format schreiben, und diese in /etc/polkit-1/rules.d/*.rules ablegen. Beispielregeln im neuen Format finden Sie in /usr/share/doc/polkitd/examples/; außerdem enthält polkit(8) nähere Informationen.

Früher konnten Regeln im pkla-Format geschrieben und in Unterverzeichnissen von /etc/polkit-1/localauthority oder /var/lib/polkit-1/localauthority abgelegt werden. Allerdings sollten .pkla-Dateien jetzt als überholt angesehen werden und sie werden nur weiter funktionieren, wenn das Paket polkitd-pkla installiert ist. Dieses Paket wird normalerweise automatisch installiert, wenn Sie auf Bookworm hochrüsten, aber es wird möglicherweise in späteren Debian-Veröffentlichungen nicht mehr enthalten sein, so dass alle lokalen Policy-Regeln in das JavaScript-Format migriert werden müssen.

Debian hat ein Dateisystem-Layout übernommen, das auch als „merged-/usr“ bekannt ist, und das nicht länger die altbekannten Verzeichnisse /bin, /sbin, /lib enthält, wie auch optionale Varianten davon, z.B. /lib64. In dem neuen Layout werden die alten Verzeichnisse durch symbolische Links auf die entsprechenden Speicherorte /usr/bin, /usr/sbin, /usr/lib und /usr/lib64 ersetzt. Das führt dazu, dass sowohl /bin/bash wie auch /usr/bin/bash beide bash starten.

Für Systeme, die als Buster oder Bullseye installiert wurden, wird es keine Änderungen geben, da dies Dateisystem-Layout in diesen Veröffentlichungen bereits der Standard war. Allerdings wird das alte Layout nicht mehr unterstützt, und Systeme, die es verwenden, werden im Zuge des Upgrades auf Bookworm auf das neue Layout konvertiert.

Die Konvertierung auf das neue Layout sollte für die meisten Benutzer keine Auswirkungen haben. Alle Dateien werden automatisch an ihre neuen Speicherorte verschoben (sogar wenn sie lokal installiert wurden oder aus Paketen stammen, die nicht von Debian bereitgestellt wurden), und hart-codierte Pfade wie /bin/sh werden weiter funktionieren. Es gibt allerdings einige potentielle Probleme:

Weitere Informationen finden Sie unter The Case for the /usr merge und The Debian Technical Committee resolution.

Debian officially supports upgrades only from one stable release to the next, e.g. from bullseye to bookworm. Upgrades from buster to bookworm are not supported, and will fail due to Bug #993755 with the following error:

Setting up libc6:mipsel (2.36-9) ...
/usr/bin/perl: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory
dpkg: error processing package libc6:mipsel (--configure):
installed libc6:mipsel package post-installation script subprocess returned error exit status 127
        

It is however possible to manually recover from this particular situation by forcibly installing the new libcrypt1:

# cd $(mktemp -d)
# apt download libcrypt1
# dpkg-deb -x libcrypt1_*.deb .
# cp -ra lib/* /lib/
# apt --fix-broken install
        

Wenn apt full-upgrade beendet ist, sollte das „formale“ Upgrade abgeschlossen sein. Nach dem Upgrade auf Bookworm gibt es keine besonderen Maßnahmen, die vor dem nächsten Neustart erledigt werden müssen.

Es gibt einige Pakete, bei denen Debian nicht versprechen kann, dass minimale Rückportierungen zur Behebung von Sicherheitslücken in die Pakete mit einfließen. Diese Pakete werden in den folgenden Abschnitten behandelt.

	Anmerkung
	Das Paket debian-security-support hilft Ihnen dabei, den Sicherheitsstatus der installierten Pakete im Blick zu behalten.

Die von Debian angebotenen Python3-Interpreter-Pakete (python3.11 und pypy3) sind jetzt gemäß PEP-668 als extern verwaltet markiert. Die Version von python3-pip, die Debian bereitstellt, folgt diesem Konzept und wird es verweigern, Pakete für Debians Python-Interpreter zu installieren, außer die Option --break-system-packages ist angegeben.

Wenn Sie eine Python-Applikation (oder -Version) installieren müssen, die nicht in Debian paketiert ist, empfehlen wir, dass Sie es mit pipx (aus dem Debian-Paket pipx) installieren. pipx wird eine Umgebung einrichten, die von anderen Applikationen und systemgebundenen Python-Modulen isoliert ist, und die zusätzliche Python-Applikation wird mit samt ihren Abhängigkeiten in dieser Umgebung installiert.

Falls Sie ein Modul (oder eine Version) einer Python-Bibliothek installieren müssen, das nicht in Debian paketiert ist, empfehlen wir, es wenn möglich in eine virtualenv-Umgebung zu installieren. Sie können eine solche Umgebung mit Pythons stdlib-Modul venv (aus Debians python3-venv-Paket) erzeugen oder mit dem Drittanbieter-Werkzeug virtualenv (aus dem Paket virtualenv). Statt also zum Beispiel pip install --user foo auszuführen, verwenden Sie jetzt: mkdir -p ~/.venvs && python3 -m venv ~/.venvs/foo && ~/.venvs/foo/bin/python -m pip install foo, um das Modul in eine dedizierte virtualenv-Umgebung zu installieren.

Weitere Details finden Sie in /usr/share/doc/python3.11/README.venv.

Der VLC-Videoplayer unterstützt grundsätzlich hardware-beschleunigtes Encoding/Decoding über VA-API und VDPAU. Allerdings hängt VLC's Unterstützung für VA-API stark von der Version von FFmpeg ab. Da FFmpeg auf den 5.x-Zweig aktualisiert wurde, wurde die Unterstützung für VA-API in VLC deaktiviert. Nutzer von GPUs mit nativer VA-API-Unterstützung (z.B. Intel- und AMD-GPUs) könnten eine erhöhte CPU-Nutzung beim Abspielen und Codieren von Videos bemerken.

Nutzer, deren GPUs native Unterstützung über VDPAU bieten (z.B. NVIDIA mit nicht-freien Treibern) sind von diesem Problem nicht betroffen.

Ob VA-API und VDPAU unterstützt werden, kann mittels vainfo und vdpauinfo (jeweils aus dem gleichnamigen Debian-Paket) kontolliert werden.

Das neue systemd-resolved-Paket wird bei Hochrüstungen nicht automatisch installiert. Falls Sie den systemd-resolved-Systemdienst genutzt haben, installieren Sie dieses neue Paket nach dem Upgrade bitte manuell, und beachten Sie, dass bis dahin die DNS-Namensauflösung nicht mehr funktionieren wird, da der Dienst auf dem System nicht mehr existiert. Die Installation dieses Pakets gibt systemd-resolved automatisch die Kontrolle über /etc/resolv.conf. Weitere Informationen über systemd-resolved finden Sie in der offiziellen Dokumentation. Beachten Sie, dass systemd-resolved in der Vergangenheit nicht der standardmäßige DNS-Namensauflöser-Dienst war, und es auch in Zukunft nicht ist. Wenn Sie Ihr System also nicht manuell angepasst haben, um systemd-resolved als DNS-Resolver zu nutzen, sind keine Maßnahmen erforderlich.

Das neue systemd-boot-Paket wird bei Hochrüstungen nicht automatisch installiert. Falls Sie systemd-boot genutzt haben, installieren Sie dieses neue Paket nach dem Upgrade bitte manuell, und beachten Sie, dass bis dahin die ältere Version von systemd-boot weiter als Bootloader genutzt wird. Die Installation dieses Pakets wird automatisch systemd-boot als Bootloader des Rechners konfigurieren. Der Standard-Bootloader in Debian ist immer noch GRUB. Wenn Sie Ihr System nicht manuell angepasst haben, um systemd-boot als Bootloader zu nutzen, sind keine Maßnahmen erforderlich.

Die optionalen Dienste systemd-journal-gatewayd und systemd-journal-remote werden jetzt ohne GnuTLS-Unterstützung gebaut, was bedeutet, dass die --trust-Option von beiden Programmen nicht mehr bereitgestellt wird und ein Fehler wird ausgegeben beim Versuch, diese Option zu nutzen.

Es gab eine Reihe von Änderungen in adduser. Die herausragendste Änderung ist, dass --disabled-password und --disabled-login jetzt funktional identisch sind. Weitere Details finden Sie in /usr/share/doc/adduser/NEWS.Debian.gz.

Die vorhersehbare Namenslogik in systemd für Netzwerkschnittstellen wurde erweitert, um auch stabile Namen von Xen-netfront-Geräteinformationen zu erstellen. Das bedeutet, dass statt des alten Systems, bei dem die Namen vom Kernel zugewiesen wurden, den Schnittstellen jetzt Namen gemäß der Form enX# zugewiesen werden. Bitte passen Sie Ihr System entsprechend an, bevor Sie es nach der Hochrüstung neu starten. Einige weitere Informationen finden Sie auf der NetworkInterfaceName-Wikiseite.

dash, das standardmäßig die System-Shell/bin/sh in Debian bereitstellt, hat eine Umstellung betreffend den Akzent circumflex (^) durchgeführt, so dass dieser jetzt als wortgetreues Zeichen behandelt wird (was auch immer schon das gemäß POSIX gewünschte Verhalten sein sollte). Als Folge bedeutet [^0-9] in Bookworm nicht mehr „nicht 0 bis 9“, sondern „0 bis 9 und ^“.

Das netcat-Werkzeug zum Lesen und Schreiben von Daten über Netzwerkverbindungen unterstützt abstrakte Sockets, und nutzt diese unter gewissen Umständen standardmäßig.

In der Standardeinstellung wird netcat vom Paket netcat-traditional bereitgestellt. Wenn es jedoch von netcat-openbsd bereitgestellt wird und und Sie einen AF_UNIX-Socket verwenden, dann greift diese neue Funktionalität. In diesem Fall wird die Option -U den nc-Befehl anweisen, ein Argument, das mit @ beginnt, als Anfrage eines abstrakten Sockets zu interpretieren, statt als mit einem @ beginnenden Dateinamen im aktuellen Verzeichnis. Dies kann sicherheitsrelevante Auswirkungen haben, da Dateisystemberechtigungen jetzt nicht mehr genutzt werden können, um den Zugriff auf einen abstrakten Socket zu steuern. Wenn Sie wie früher mit @ beginnende Dateinamen verwenden möchten, müssen Sie diesem entweder ein ./ voranstellen oder einen absoluten Pfad angeben.

Hier eine Liste bekannter und erwähnenswerter veralteter Pakete (lesen Sie hierzu auch Abschnitt 4.8, „Veraltete Pakete“).

Zu diesen Paketen gehören:

Mit der nächsten Veröffentlichung von Debian 13 (Codename Trixie) werden einige Funktionalitäten missbilligt sein. Nutzer müssen auf andere Alternativen umsteigen, um Schwierigkeiten nach dem Upgrade auf Debian 13 zu vermeiden.

Dazu gehören folgende Funktionalitäten: