Capítulo 5. Problemas a ter en conta con bookworm

Tal coma se indica en Sección 2.2, « Áreas do arquivo », a partir de agora os paquetes con «firmware» non libre só estarán dispoñibles nun compoñente do arquivo dedicado, chamado non-free-firmware. Terá que actualizar a configuración de APT para asegurarse de que recibe as actualizacións axeitadas. De seguido se amosa un exemplo, asumindo que o compoñente non-free só se engadiu para instalar «firmware»:

deb https://deb.debian.org/debian bookworm main non-free-firmware

Se está a ler este capítulo por indicación de apt, pode evitar que lle avise deste cambio creando un ficheiro de apt.conf(5) en /etc/apt/apt.conf.d/no-bookworm-firmware.conf co seguinte contido:

APT::Get::Update::SourceListWarnings::NonFreeFirmware "false";

O paquete ntp, que era a versión por omisión para configurar a hora do sistema dende servidores NTP, foi substituído por ntpsec.

A meirande parte do usuarios non precisan de facer nada para cambiar de ntp a ntpsec.

Bookworm tamén inclúe varios paquetes que provén ese mesmo servizo. En Debian a opción por omisión é systemd-timesyncd, que abonda para os usuarios que só precisen un cliente ntp para manterse en hora. Esta versión tamén inclúe chrony e openntpd, que permiten un uso máis avanzado, como pode ser operar o teu servidor NTP propio.

Puppet foi actualizado da versión 5 á 7, saltando todas as versións 6. Esta versión introduce grandes cambios no ecosistema de Puppet.

A versión clásica baseada en Ruby de Puppet Master 5.5.x foi declarada obsoleta polo autor orixinal, e xa non está dispoñible en Debian. Foi substituída por Puppet Server 7.x, no paquete puppetserver. Este paquete é instalado automaticamente mediante unha dependencia transitiva do paquete puppet-master.

Pode que algunhas configuracións existentes non precisen de retoques con Puppet Server, pero de todos xeitos debería revisar os ficheiros de configuración dispoñibles en /etc/puppet/puppetserver para asegurarse de que as opcións predeterminadas seguen sendo axeitadas. En particular, o antigo formato de auth.conf está obsoleto. Vexa a documentación de auth.conf para máis información.

Recoméndase actualizar o servidor antes cos clientes. O servidor de Puppet 7 é compatible con clientes antigos, e un servidor de Puppet 5 pode xestionar axentes actualizados, pero non pode rexistrar novos axentes de Puppet 7. Por mor disto, non se poderán engadir novos axentes de Puppet 7 á flota sen antes actualizar.

O paquete puppet foi substituído polo paquete puppet-agent, e o antigo paquete foi convertido nun paquete transicional para axudar á actualización.

Tamén indicar que o paquete puppetdb, que fora eliminado en bullseye, estará de novo dispoñible en bookworm.

A coñecida ferramenta youtube-dl, que permite descargar vídeos dun grande número de páxinas (entre elas YouTube) xa non estará dispoñible en Debian. No seu lugar estará un paquete de transición baleiro que se encargará de instalar o paquete yt-dlp para substituílo. yt-dlp é a versión de youtube-dl onde inda continúa o desenvolvemento.

Non se van instalar capas de compatibilidade, polo que precisará de cambiar os seus programas e memoria muscular para chamar a yt-dlp, no canto de youtube-dl. A funcionalidade debería ser a mesma, inda que algunhas opcións ou comportamentos foron cambiados. Consulte o manual de yt-dlp para máis información, e en particular a sección Diferencias no comportamento por omisión.

Os paquetes fcitx e fcitx5 conteñen as versións 4 e 5 do Método de Entrada Fcitx. O autor orixinal recomenda que non se poidan instalar ambas versións á vez no mesmo sistema. Os usuarios que teñan ambas versións instaladas terán que decidir cal versión eliminan.

Recomendamos que, antes de actualizar, os usuarios eliminen todos os paquetes relacionados coa versión que van eliminar (fcitx-* para Fcitx 4 e fcitx5-* para Fcitx 5). Cando remate a actualización pode que precise executar a orde im-config outra vez para escoller o método de entrada a usar no sistema.

Pode obter máis información sobre o razoamento no aviso publicado na lista de correo (texto en chinés simplificado).

Bullseye incluía a versión de MariaDB nos nomes dos paquetes (v.g. mariadb-server-10.5 e mariadb-client-10.5), mentres que en bookworm os nomes dos mesmos paquetes para MariaDB 10.11 xa non inclúen a versión (v.g. mariadb-server e mariadb-client). A versión de MariaDB inda está dispoñible nos metadatos da versión do paquete.

Coñécese un caso (Bug #1035949) no que a actualización a paquetes sen versión no nome pode fallar: correr

apt-get install default-mysql-server

pode dar un erro se mariadb-client-10.5 e o ficheiro /usr/bin/mariadb-admin foron eliminados antes de que o servizo de SysV do servidor de MariaDB empezase o apagado, para o que precisa mariadb-admin. Para evitalo faga

apt upgrade

antes de facer

apt full-upgrade

.

Para máis información sobre os cambios nos nomes dos paquetes de MariaDB vexa /usr/share/doc/mariadb-server/NEWS.Debian.gz.

O paquete rsyslog xa non se precisa na maioría de sistemas, e pódese eliminar sen problemas.

Moitos programas envían mensaxes ao rexistro para informarlle ao usuario o que están a facer. Estas mensaxes pódense consultar usando o rexistro (« journal » en inglés) de systemd, ou cun « daemon de rexistros do sistema (syslog) », como pode ser rsyslog.

rsyslog viña instalado con bullseye, e o rexistro de systemd estaba configurado para enviar todas as mensaxes do rexistro a rsyslog, que garda as mensaxes en varios ficheiros de texto, por exemplo /var/log/syslog.

rsyslog xa non se instalará por omisión en bookworm. Se non quere continuar usando rsyslog pode marcalo como instalado de forma automática tras a actualización executando

apt-mark auto rsyslog

e despois facendo

apt autoremove

para eliminalo, segundo as dependencias. Se ao actualizar de versións antigas de Debian non aceptou a configuración predeterminada, pode que o rexistro non estea configurado para gardar os mensaxes en almacenamento permanente. Para activalo consulte as instrucións en journald.conf(5).

Se decide cambiar o rsyslog unha alternativa sería usar journalctl para ler as mensaxes do rexistro, que están almacenadas en binario en /var/log/journal. Por exemplo,

journalctl -e

amosa os últimos mensaxes do rexistro e

journalctl -ef

amosa os novos mensaxes en vivo (algo semellante a executar

tail -f /var/log/syslog

).

rsyslog agora usa « datas e horas de alta precisión », o que pode afectar outros programas que analicen os rexistros do sistema. Pode atopar máis información sobre como personalizar esta opción en rsyslog.conf(5).

Se ten regras locais para logcheck comprobe que funcionan cos cambios nas datas. logcheck analiza as mensaxes no rexistro do sistema (creado por systemd-journald ou rsyslog) usando unha base de datos personalizable de regras en forma de expresións regulares. Calquera regra que comprobe a data e hora na que se emitiu a mensaxe terá que actualizarse para que funcione co novo formato de rsyslog. As regras predeterminadas, dispoñibles no paquete logcheck-database, xa están actualizadas, pero calquera outra regra local ou externa inda precisa unha comprobación. En /usr/share/doc/logcheck-database/NEWS.Debian.gz ten dispoñible un programa para axudar a actualizar as regras logcheck locais.

rsyslog cambiou que ficheiros crea para gardar os rexistros, polo que algúns ficheiros en /var/log poden eliminarse.

Se segue a usar rsyslog (véxase Sección 5.1.7, « Cambios no sistema de rexistros ») verá que algúns ficheiros en /var/log xa non se crearán de xeito predeterminado. Todas as mensaxes deses ficheiros seguirán escribíndose en /var/log/syslog, pero non se crearan os ficheiros individuais.

Os ficheiros que xa non se crearán son:

A nova versión 2.5 de OpenLDAP inclúe algúns cambios incompatibles, tal coma se indica neste anuncio. Pode ser que o servizo slapd, dependendo da configuración, non se active tras a actualización, precisándose actualizar manualmente a configuración.

Estes son algúns dos cambios incompatibles coñecidos:

Pode consultar as instrucións sobre como completar a actualización e reactivar o servizo slapd en /usr/share/doc/slapd/README.Debian.gz. Tamén debería consultar as notas de versión dos autores.

grub leva moito tempo usando o paquete os-prober para detectar outros sistemas operativos instalados no ordenador, de xeito que os poida engadir ao menú de arranque. Porén, isto pode causar certos problemas (por exemplo, se hai máquinas virtuais executándose), polo que agora isto está desactivado por omisión na última versión.

Se está a usar GRUB para arrancar o sistema e quere que aparezan outros sistemas operativos no menú de arranque terá que modificar isto. Modifique o ficheiro /etc/default/grub e engada ou active a liña GRUB_DISABLE_OS_PROBER=false e execute update-grub, ou execute

dpkg-reconfigure <GRUB_PACKAGE>

para cambiar isto e outras configuracións de GRUB dun xeito máis sinxelo.

Moitas aplicacións de GNOME xa mudaron do marco gráfico GTK3 a GTK4. Por desgraza isto provoca que estas aplicacións perdan compatibilidade con lectores de pantalla, como pode ser orca.

Se depende dun lector de pantallas lle recomendamos que considere cambiarse a un escritorio diferente, como por exemplo Mate, que é máis accesible. Para facer isto instale o paquete mate-desktop-environment. Para usar Orca con Mate consulte esta ligazón.

O servizo polkit (antes chamado PolicyKit), que permite que programas sen privilexios accedan a servizos do sistema privilexiados, mudou a sintaxe e localización das regras de políticas locais, por mor de consistencia co orixinal e con outras distribucións. A partir de agora deberá escribir as súas regras locais personalizadas en JavaScript, e gardalas en /etc/polkit-1/rules.d/*.rules. Pode atopar exemplos do novo formato en /usr/share/doc/polkitd/examples/. Consulte polkit(8) para máis información.

Antes podíanse escribir as regras en formato pkla e deixalas en subdirectorios de /etc/polkit-1/localauthority ou de /var/lib/polkit-1/localauthority. Porén, agora os ficheiros .pkla están obsoletos e só funcionarán instalando o paquete polkitd-pkla. Este paquete instalarase automaticamente ao actualizar a bookwork, pero non é probable que se inclúa en futuras versións de Debian, polo que aquelas políticas locais que o precisen deberíanse migrar a formato JavaScript.

Debian adoptou un sistema de ficheiros cunha estrutura diferente, o chamado « /usr fusionado », que xa non inclúe os antigos directorios /bin, /sbin, /lib nin as variantes opcionais /lib64. Nesta nova estrutura substituíronse estes directorios por ligazóns a cadansúa correspondente versión /usr/bin, /usr/sbin, /usr/lib e /usr/lib64. Por mor disto, por exemplo, tanto /bin/bash coma /usr/bin/bash executarán bash.

Para os sistemas instalados durante buster e bullseye non haberá cambios, por que esta nova estrutura xa se usaba nesas versións. Os sistemas que inda usaren a vella estrutura, agora incompatible, converteranse á nova estrutura durante a actualización a bookworm.

Esta conversión non debería afectar a meirande parte de usuarios. Todos os ficheiros moveranse automaticamente ás novas rutas inda que se instalaren localmente ou viñeren de paquetes externos a Debian. As rutas estáticas, como pode ser /bin/sh, seguirán funcionando. Porén, si que poden ocorrer algúns problemas:

Para máis información consulte Sobre a Fusión de /usr e a resolución do Comité Técnico de Debian.

Debian só permite actualizar dende unha versión estable á seguinte, neste caso dende bullseye a bookworm. Non se permiten as actualizacións de buster a bookworm, e fallarán por mor do fallo #993755 con esta mensaxe:

A configurar libc6:mipsel (2.36-9) ...
/usr/bin/perl: error while loading shared libraries: libcrypt.so.1: cannot open shared object file: No such file or directory
dpkg: erro ao procesar libc6:mipsel (--configure):
installed libc6:mipsel package post-installation script subprocess returned error exit status 127
        

Porén, pódese recuperar desta situación forzando a instalación do novo libcrypt1:

# cd $(mktemp -d)
# apt download libcrypt1
# dpkg-deb -x libcrypt1_*.deb .
# cp -ra lib/* /lib/
# apt --fix-broken install
        

Cando remate apt full-upgrade, a actualización « en sí » rematou. Para actualizar a bookworm non é necesario facer máis cousas antes de reiniciar.

Hai algúns paquetes onde Debian non pode prometer manter unha modernización mínima por razóns de seguridade. Estes paquetes trátanse nas seguintes subseccións.

	Nota
	O paquete debian-security-support axuda a manterse ao día sobre a asistencia técnica de seguridade dos paquetes.

Os paquetes de Debian que conteñen intérpretes de python3 (python3.11 e pypy3) serán marcados coma «xestionados externamente», segundo se indica no PEP-668. A versión de python3-pip dispoñible en Debian tamén fai isto, e non instalará manualmente paquetes nos intérpretes python de Debian, excepto se se pasa a opción --break-system-packages.

Recomendamos que instale calquera aplicación (ou versión) non empaquetada en Debian mediante pipx (do paquete pipx). pipx montará un ambiente illado doutras aplicacións e módulos Python do sistema, e usara ese ambiente para instalar a aplicación e as súas dependencias.

Recomendamos, se for posible, que instale calquera módulo e biblioteca (de calquera versión) non empaquetada en Debian nun «virtualenv». Os «virtualenv» pódense crear mediante o módulo venv, parte da «stdlib» de Python (no paquete python3-venv), ou coa ferramenta externa de Python virtualenv (no paquete virtualenv). Por exemplo, no canto de usar pip install --user foo poderíase executar mkdir -p ~/.venvs && python3 -m venv ~/.venvs/foo && ~/.venvs/foo/bin/python -m pip install foo para instalar foo nun virtualenv propio.

Consulte /usr/share/doc/python3.11/README.venv para máis información.

O reprodutor de vídeo VLC é compatible coa codificación e descodificación de vídeo por hardware mediante VA-API e VDPAU. Porén a compatibilidade con VA-API está ligada á versión de FFmpeg. E como FFmpeg foi actualizado á rama 5.x a VA-API de VLC tívose que desactivar. Aqueles usuarios cuxas tarxetas gráficas teñan compatibilidade nativa con VA-API (por exemplo as tarxetas gráficas de Intel e AMD) pode que noten un pico de uso do procesador durante a reprodución e codificación de vídeo.

Aos usuarios de tarxetas gráficas con compatibilidade nativa con VDPAU (por exemplo, NVIDIA cos controladores non libres) non lles afectará este problema.

A compatibilidade con VA-API e VDPAU pódese comprobar con vainfo e vdpauinfo (en cadanseu paquete do mesmo nome).

O novo paquete systemd-resolved xa non se instalará automaticamente ao actualizar. Se estaba a usar o servizo systemd-resolved terá que instalar o paquete manualmente tras actualizar, e lémbrese de que ate que se instale a resolución DNS pode que non funcione, ao non estar o servizo presente no sistema. Instalar este paquete daralle o control de /etc/resolv.conf a systemd-resolved automaticamente. Para máis información sobre systemd-resolved consulte a documentación oficial. Tamén teña en conta que systemd-resolved non era, nin é, o servizo de resolución DNS predeterminado de Debian. Se non está a usar systemd-resolved non precisa facer nada.

O novo paquete systemd-boot xa non se instalará automaticamente ao actualizar. Se estaba a usar systemd-boot terá que instalar o paquete manualmente, e ate que o faga usarase a versión anterior de systemd-boot para iniciar o sistema. Instalar este paquete tamén configurará systemd-boot coma o sistema de arranque da máquina. O sistema de arranque predeterminado en Debian segue a ser GRUB. Se non está a usar systemd-boot non precisa facer nada.

Os servizos opcionais systemd-journal-gatewayd e systemd-journal-remote xa non se compilarán con GnuTLS, o que fai que xa non se use o parámetro --trust. Se se intenta usar saltará un fallo.

Realizáronse varios cambios en adduser. O máis prominente é que --disabled-password e --disabled-login xa son practicamente equivalentes. Para máis información consulte /usr/share/doc/adduser/NEWS.Debian.gz.

A lóxica previsible de nomeamento que usa systemd para as interfaces de rede foi estendida para xerar nomes estables da información dos dispositivos do «netfront» de Xen. Isto fai que, a diferenza do antigo método de deixar que o núcleo escolla os nomes, agora as interfaces teñen nomes estables, da forma enXnº. Lembre de adaptar o seu sistema antes de reiniciar tras a actualización. Para máis información consulte a páxina wiki NetworkInterfaceNames.

dash, que é o intérprete de ordes /bin/sh por omisión en Debian, a partir de agora tomará o acento circunflexo (^) coma un carácter literal, como se indica na normativa POSIX. Isto implica que en bookworm [^0-9] non é « sen incluír do 0 ao 9 », se non que agora significa « de 0 ao 9 e o ^ ».

A ferramenta netcat para ler e enviar datos a través da rede xa é compatible con socket abstractos e xa os usa por omisión nalgúns casos.

Por omisión netcat está no paquete netcat-traditional. Pero se está a usar o netcat de netcat-openbsd cun socket AF_UNIX aplícase o novo predeterminado. Neste caso a opción -U de nc interpretará como que pide un socket abstracto, no canto dun ficheiro normal, se o parámetro empeza por @. Isto pode representar un perigo por que xa non se poden usar os permisos do sistema de ficheiros para controlar o acceso ao socket abstracto. Para seguir usando un ficheiro que empece por @ meta antes un ./ ou especifique a ruta absoluta.

Esta é unha lista dos paquetes obsoletos que se consideran importantes (véxase Sección 4.8, « Paquetes obsoletos » para a definición).

A lista de paquetes obsoletos inclúe:

Na seguinte versión de Debian 13 (alcumada trixie) quitáronse algunhas características. Os usuarios terán que migrar a outras alternativas para evitar problemas ao actualizaren a Debian 13.

Isto inclúe as seguintes características: