Hoofdstuk 5. Kwesties waarvan u zich bewust moet zijn bij bookworm

Zoals beschreven wordt in Paragraaf 2.2, “Archiefgebieden”, worden niet-vrije firmwarepakketten nu geleverd vanuit een speciale archiefcomponent, genaamd non-free-firmware. Om ervoor te zorgen dat geïnstalleerde niet-vrije firmwarepakketten de juiste upgrades krijgen, zijn wijzigingen in de APT-configuratie nodig. Ervan uitgaande dat de non-free component alleen is toegevoegd aan de bronnenlijst van APT om firmware te installeren, zou de bijgewerkte vermelding in de bronnenlijst van APT er als volgt uit kunnen zien:

deb https://deb.debian.org/debian bookworm main non-free-firmware

Als u door apt naar dit hoofdstuk bent verwezen, kunt u voorkomen dat het u continu op de hoogte stelt van deze wijziging door een apt.conf(5)-bestand aan te maken met de naam /etc/apt/apt.conf.d/no-bookworm-firmware.conf en met de volgende inhoud:

APT::Get::Update::SourceListWarnings::NonFreeFirmware "false";

Het pakket ntp, dat vroeger de standaardmanier was om de systeemklok in te stellen vanaf een NTP-server (Network Time Protocol), is vervangen door ntpsec.

De meeste gebruikers zullen geen specifieke actie moeten ondernemen om over te stappen van ntp naar ntpsec.

In bookworm zijn er ook verschillende andere pakketten die een soortgelijke dienst leveren. De Debian standaard is nu systemd-timesyncd, wat voldoende kan zijn voor gebruikers die alleen een ntp-client nodig hebben om hun klok in te stellen. Bookworm bevat ook chrony en openntpd die meer geavanceerde functies ondersteunen, zoals het laten functioneren van een eigen NTP-server.

Puppet is opgewaardeerd van 5 naar 7, waarbij de Puppet 6-serie helemaal wordt overgeslagen. Dit introduceert grote veranderingen in het Puppet-ecosysteem.

De klassieke op Ruby gebaseerde toepassing Puppet Master 5.5.x werd door de bovenstroomse ontwikkelaars verouderd verklaard en is niet langer beschikbaar in Debian. Ze wordt vervangen door Puppet Server 7.x, geleverd door het pakket puppetserver. Het pakket wordt automatisch geïnstalleerd als een vereiste van het overgangspakket puppet-master.

In sommige gevallen is Puppet Server een eenvoudige vervanging voor Puppet Master, maar u dient de configuratiebestanden te bekijken die beschikbaar zijn onder /etc/puppet/puppetserver om er zeker van te zijn dat de nieuwe standaardinstellingen geschikt zijn voor uw implementatie. Met name de vroegere indeling voor het bestand auth.conf is verouderd, zie de auth.conf-documentatie voor details.

De aanbevolen aanpak is om de server vóór de clients op te waarderen. De Puppet 7 Server is achterwaarts compatibel met oudere clients; een Puppet 5 Server kan nog steeds omgaan met opgewaardeerde clients (agents), maar kan geen nieuwe Puppet 7 agents registreren. Dus als u nieuwe Puppet 7 agents inzet voordat u de server hebt opgewaardeerd, kunt u ze niet aan de vloot toevoegen.

Het pakket puppet werd vervangen door het pakket puppet-agent en is nu een overgangspakket om een vlotte opwaardering te garanderen.

Tenslotte werd het pakket puppetdb verwijderd uit bullseye maar opnieuw geïntroduceerd in bookworm.

Het populaire hulpmiddel youtube-dl, dat video's van een grote verscheidenheid aan websites kan downloaden (inclusief, maar niet beperkt tot YouTube), is niet langer opgenomen in Debian. Het is vervangen door een leeg overgangspakket dat in de plaats ervan het pakket yt-dlp binnenhaalt. yt-dlp is een afsplitsing van youtube-dl waar momenteel nieuwe ontwikkeling plaatsvindt.

Er zijn geen compatibiliteitsomkaderingen voorzien, dus u zult uw scripts en persoonlijk gedrag moeten aanpassen om yt-dlp aan te roepen in plaats van youtube-dl. De functionaliteit zou grotendeels hetzelfde moeten zijn, hoewel sommige opties en gedragsdetails zijn veranderd. Zorg ervoor dat u de man-pagina raadpleegt voor details, en in het bijzonder de sectie over Verschillen in standaardgedrag.

De pakketten fcitx en fcitx5 bieden versie 4 en versie 5 van het populaire Fcitx Input Method Framework (invoermethoderaamwerk). In opvolging van de aanbeveling van de bovenstroomse auteur kunnen ze niet langer samen worden geïnstalleerd op hetzelfde besturingssysteem. Gebruikers moeten bepalen welke versie van Fcitx behouden moet blijven als ze eerder fcitx en fcitx5 samen hadden geïnstalleerd.

Gebruikers worden sterk aangeraden om vóór de upgrade alle pakketten die verband houden met de ongewenste Fcitx-versie, te verwijderen (fcitx-* voor Fcitx 4, en fcitx5-* voor Fcitx 5). Als de upgrade is voltooid, kunt u overwegen het im-config opnieuw uit te voeren om het voor het systeem gewenste invoermethoderaamwerk te selecteren.

U kunt meer achtergrondinformatie lezen in de aankondiging in de mailinglijst (tekst geschreven in Vereenvoudigd Chinees).

In tegenstelling tot bullseye waar de MariaDB-versie in de pakketnaam stond (bijv. mariadb-server-10.5 en mariadb-client-10.5), zijn in bookworm de equivalente pakketnamen van MariaDB 10.11 volledig versieloos (bijv. mariadb-server of mariadb-client). De MariaDB-versie is nog steeds zichtbaar in de metagegevens van de pakketversie.

Er is ten minste één opwaarderingsscenario bekend (Bug #1035949) waarbij de overgang naar pakketnamen zonder versie mislukt: het uitvoeren van

apt-get install default-mysql-server

kan mislukken wanneer mariadb-client-10.5 en het bestand /usr/bin/mariadb-admin daarin wordt verwijderd voordat de SysV init-service van MariaDB-server een shutdown heeft uitgevoerd, waarvoor mariadb-admin gebruikt wordt. De oplossing hiervoor is het uitvoeren van

apt upgrade

voorafgaand aan het uitvoeren van

apt full-upgrade

.

raadpleeg voor meer informatie over de wijzigingen van de pakketnamen van MariaDB /usr/share/doc/mariadb-server/NEWS.Debian.gz.

Het pakket rsyslog is op de meeste systemen niet meer nodig en u kunt het misschien verwijderen.

Veel programma's produceren logberichten om de gebruiker te informeren over wat ze doen. Deze berichten kunnen worden beheerd door het “journal” van systemd of door een “syslog achtergronddienst” zoals rsyslog.

In bullseye was rsyslog standaard geïnstalleerd en was het systemd journal geconfigureerd om logberichten door te sturen naar rsyslog, dat berichten opschrijft in verschillende tekstbestanden, zoals /var/log/syslog.

Vanaf bookworm wordt rsyslog niet meer standaard geïnstalleerd. Als u rsyslog niet wilt blijven gebruiken, kunt u het na de upgrade markeren als automatisch geïnstalleerd met

apt-mark auto rsyslog

en daarna zal een

apt autoremove

het indien mogelijk verwijderen. Als u een upgrade hebt uitgevoerd vanaf oudere releases van Debian, en de standaard configuratie-instellingen niet hebt geaccepteerd, is het journaal misschien niet geconfigureerd om berichten op te slaan in een permanente opslag: instructies om dit in te schakelen staan in journald.conf(5).

Als u besluit om af te stappen van rsyslog kunt u het commando journalctl gebruiken om logboekberichten te lezen, die in een binair formaat worden opgeslagen onder /var/log/journal. Bijvoorbeeld,

journalctl -e

toont de meest recente logboekberichten in het journaal en

journalctl -ef

toont nieuwe berichten terwijl ze worden geschreven (vergelijkbaar met het uitvoeren van

tail -f /var/log/syslog

).

rsyslog gebruikt nu standaard “high precision timestamps” (zeer nauwkeurige tijdstempels) die van invloed kunnen zijn op andere programma's die de systeemlogboeken analyseren. Er is meer informatie over het aanpassen van deze instelling in rsyslog.conf(5).

De wijziging in tijdstempels kan vereisen dat lokaal gemaakte regels voor logcheck worden bijgewerkt. logcheck controleert berichten in het systeemlogboek (geproduceerd door systemd-journald of rsyslog) aan de hand van een aanpasbare database met reguliere expressies, ook wel regels genoemd. Regels die getoetst worden aan het tijdstip waarop het bericht is geproduceerd, moeten worden bijgewerkt zodat ze overeenkomen met de nieuwe door rsyslog gebruikte indeling. De standaardregels, die worden geleverd door het pakket logcheck-database, zijn bijgewerkt, maar andere regels, waaronder regels die lokaal zijn gemaakt, moeten mogelijk worden bijgewerkt om de nieuwe indeling te herkennen. Zie /usr/share/doc/logcheck-database/NEWS.Debian.gz voor een script om lokale logcheck-regels te helpen updaten.

Er zijn wijzigingen in verband met de logbestanden die door rsyslog worden aangemaakt, en sommige bestanden in /var/log kunnen worden verwijderd.

Als u rsyslog blijft gebruiken (zie Paragraaf 5.1.7, “Wijzigingen in verband met systeemregistratie”), worden sommige logboekbestanden in /var/log niet langer standaard aangemaakt. De berichten die naar deze bestanden werden geschreven staan ook in /var/log/syslog maar de betrokken bestanden worden niet langer standaard aangemaakt. Alles wat vroeger naar deze bestanden werd geschreven zal nog steeds beschikbaar zijn in /var/log/syslog.

De bestanden die niet meer worden aangemaakt zijn:

OpenLDAP 2.5 is een belangrijke nieuwe release en bevat verschillende incompatibele wijzigingen zoals beschreven wordt in de bovenstroomse release-aankondiging. Afhankelijk van de configuratie kan de dienst slapd na de upgrade gestopt blijven, totdat de noodzakelijke configuratie-updates zijn voltooid.

Hieronder volgen enkele van de bekende incompatibele wijzigingen:

Instructies voor het voltooien van de upgrade en het hervatten van de dienst slapd zijn te vinden in /usr/share/doc/slapd/README.Debian.gz. Raadpleeg ook de bovenstroomse opwaarderingsnotities.

Lange tijd heeft grub het pakket os-prober gebruikt om andere besturingssystemen die op een computer zijn geïnstalleerd te detecteren, zodat het deze kan toevoegen aan het opstartmenu. Helaas kan dat in bepaalde gevallen problematisch zijn (bijv. als er virtuele gastmachines actief zijn), dus dit is nu standaard uitgeschakeld in de laatste bovenstroomse release.

Als u GRUB gebruikt om uw systeem op te starten en andere besturingssystemen in het opstartmenu wilt blijven zien, kunt u dit aanpassen. Ofwel kun u het bestand /etc/default/grub bewerken, ervoor zorgen dat u er als instelling GRUB_DISABLE_OS_PROBER=false staan hebt en het commando update-grub opnieuw uitvoeren, ofwel kunt u

dpkg-reconfigure <GRUB_PACKAGE> uitvoeren

om deze en andere GRUB-instellingen op een meer gebruikersvriendelijke manier te wijzigen.

Veel GNOME-apps zijn overgestapt van de grafische gereedschapskist GTK3 naar GTK4. Helaas heeft dit veel apps veel minder bruikbaar gemaakt met schermlezers zoals orca.

Als u afhankelijk bent van een schermlezer, kunt u overwegen om over te stappen naar een andere grafische werkomgeving, zoals Mate, die een betere toegankelijkheidsondersteuning heeft. U kunt dit doen door het pakket mate-desktop-environment te installeren. Informatie over het gebruik van Orca onder Mate is hier beschikbaar.

Met het oog op consistentie met de bovenstroomse ontwikkeling en met andere distributies werd voor de dienst polkit (voorheen PolicyKit), die onbevoegde programma's toegang geeft tot geprivilegieerde systeemdiensten, de syntaxis en de locatie van lokale beleidsregels gewijzigd. Lokale regels voor het aanpassen van het beveiligingsbeleid moet u nu schrijven in JavaScript en deze plaatsen in /etc/polkit-1/rules.d/*.rules. Voorbeeldregels die de nieuwe indeling gebruiken, zijn te vinden in /usr/share/doc/polkitd/examples/ en polkit(8) bevat meer informatie.

Voorheen konden regels worden geschreven in de indeling pkla en in submappen van /etc/polkit-1/localauthority of /var/lib/polkit-1/localauthority worden geplaatst. .pkla-bestanden zouden nu echter als verouderd moeten worden beschouwd en zullen alleen blijven werken als het pakket polkitd-pkla is geïnstalleerd. Dit pakket zal normaal gesproken automatisch worden geïnstalleerd wanneer u opwaardeert naar bookworm, maar het zal waarschijnlijk niet worden opgenomen in toekomstige releases van Debian, dus alle lokale beleidsaanpassingen zullen moeten worden overgezet naar de JavaScript-indeling.

Debian heeft een indeling van het bestandssysteem aangenomen, aangeduid als “samengevoegde /usr”, welke niet langer de oude mappen /bin, / sbin, /lib, of facultatieve varianten zoals /lib64 bevat. In de nieuwe indeling zijn de verouderde mappen vervangen door symbolische koppelingen naar de corresponderende locaties /usr/bin, /usr/sbin, /usr/lib en <bestandsnaam>/usr/lib64</bestandsnaam>. Dit betekent dat bijvoorbeeld zowel /bin/bash als /usr/bin/bash het commando bash zullen starten.

Voor systemen die zijn geïnstalleerd als buster of bullseye verandert er niets, aangezien de nieuwe indeling van het bestandssysteem al de standaard was in deze releases. De oudere indeling wordt echter niet langer ondersteund en systemen die deze gebruiken, worden geconverteerd naar de nieuwe indeling wanneer ze worden opgewaardeerd naar bookworm.

De conversie naar de nieuwe indeling zou voor de meeste gebruikers geen gevolgen moeten hebben. Alle bestanden worden automatisch naar hun nieuwe locatie verplaatst, zelfs als ze lokaal zijn geïnstalleerd of afkomstig zijn uit pakketten die niet door Debian worden geleverd, en hardgecodeerde paden zoals /bin/sh blijven werken. Er zijn echter enkele mogelijke problemen:

Zie voor meer informatie Pleidooi voor het samenvoegen van /usr en de resolutie van het technisch comité van Debian.

Debian ondersteunt officieel alleen opwaarderingen van de ene stabiele release naar de volgende, bijv. van bullseye naar bookworm. Opwaarderingen van buster naar bookworm worden niet ondersteund en mislukken vanwege Bug #993755 met de volgende fout:

Instellen van libc6:ppc64el (2.36-9) ...
/usr/bin/perl: fout bij het laden van gedeelde bibliotheken:
libcrypt.so.1: kan het gedeelde objectbestand niet openen: geen dergelijk bestand of map
dpkg: fout bij het verwerken van pakket libc6:ppc64el (--configure):
subproces van post-installatiescript van geïnstalleerd pakket libc6:ppc64el gaf als teruggegeven fout afsluitstatus 127

        

Het is echter mogelijk om deze situatie handmatig te herstellen door het nieuwe libcrypt1 geforceerd te installeren:

# cd $(mktemp -d)
# apt download libcrypt1
# dpkg-deb -x libcrypt1_*.deb .
# cp -ra lib/* /lib/
# apt --fix-broken install
        

Wanneer apt full-upgrade beëindigd is, is de opwaardering “formeel” afgerond. Bij de opwaardering naar bookworm zijn er geen speciale acties meer nodig voordat u de computer herstart.

Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.

	Opmerking
	Het pakket debian-security-support helpt om de situatie op het gebied van beveiligingsondersteuning van geïnstalleerde pakketten na te gaan.

De door Debian geleverde python3-interpreterpakketten (python3.11 en pypy3) zijn nu gemarkeerd als extern beheerd, in navolging van PEP-668. De versie van python3-pip in Debian gedraagt zich hiernaar en zal weigeren pakketten handmatig te installeren op de python-interpreters van Debian, tenzij de optie --break-system-packages is opgegeven.

Als u een Python-toepassing (of versie) moet installeren die niet wordt verpakt in Debian, raden we u aan die te installeren met pipx (in het Debian-pakket pipx). pipx zal een omgeving opzetten die geïsoleerd is van andere toepassingen en Python-modules op het systeem, en de toepassing en zijn vereisten daarin installeren.

Als u een Python-bibliotheekmodule (of -versie) moet installeren die niet in Debian wordt verpakt, raden we u aan die waar mogelijk in een virtuele omgeving (virtualenv) te installeren. U kunt virtuele omgevingen (virtualenvs) maken met de Python stdlib-module venv (in het Debian-pakket python3-venv) of met het van derden afkomstige Python-hulpmiddel virtualenv (in het Debian-pakket virtualenv). Bijvoorbeeld, in plaats van het commando pip install --user blabla uit te voeren, voert u het volgende commando uit om de bibliotheek in een speciale virtuele omgeving te installeren: mkdir -p ~/.venvs && python3 -m venv ~/.venvs/blabla && ~/.venvs/blabla/bin/python -m pip install blabla .

Zie /usr/share/doc/python3.11/README.venv voor meer details.

De VLC-videospeler ondersteunt hardwareversnelde videodecodering en -codering via VA-API en VDPAU. VLC's ondersteuning voor VA-API is echter nauw verbonden met de versie van FFmpeg. Omdat FFmpeg is opgewaardeerd naar de 5.x-tak, is de VA-API-ondersteuning van VLC uitgeschakeld. Gebruikers van GPU's met eigen VA-API-ondersteuning (bijv. de GPU's van Intel en AMD) kunnen een hoog CPU-gebruik ervaren tijdens het afspelen en coderen van video.

Gebruikers van GPU's met eigen VDPAU-ondersteuning (bijv. NVIDIA met niet-vrije stuurprogramma's) hebben geen last van dit probleem.

Ondersteuning voor VA-API en VDPAU kan worden nagegaan met vainfo en vdpauinfo (beide beschikbaar in een Debian-pakket met dezelfde naam).

Het nieuwe pakket system-resolved wordt niet automatisch geïnstalleerd bij upgrades. Als u de systeemdienst systemd-resolved gebruikte, installeer dan het nieuwe pakket handmatig na de upgrade, en houd er rekening mee dat totdat het geïnstalleerd is, DNS-resolutie mogelijk niet meer werkt, omdat de dienst niet aanwezig zal zijn op het systeem. Door dit pakket te installeren krijgt systemd-resolved automatisch controle over /etc/resolv.conf. Voor meer informatie over systemd-resolved kunt u de officiële documentatie raadplegen. Merk op dat systemd-resolved niet de standaard DNS-resolver was, en nog steeds niet is, in Debian. Als u uw machine niet hebt geconfigureerd om systemd-resolved als DNS-resolver te gebruiken, is er geen actie nodig.

Het nieuwe pakket systemd-boot wordt niet automatisch geïnstalleerd bij upgrades. Als u systemd-boot gebruikte, installeer dit nieuwe pakket dan handmatig, en merk op dat totdat u dit doet, de oudere versie van systemd-boot zal worden gebruikt als bootloader. De installatie van dit pakket zal systemd-boot automatisch configureren als de bootloader van de machine. De standaard bootloader in Debian is nog steeds GRUB. Als u de machine niet hebt geconfigureerd om systemd-boot als bootloader te gebruiken, hoeft u niets te doen.

De facultatieve diensten systemd-journal-gatewayd en systemd-journal-remote worden nu gebouwd zonder ondersteuning voor GnuTLS, wat betekent dat de optie --trust door geen van beide programma's meer wordt aangeboden, en dat er een foutmelding verschijnt als deze wordt opgegeven.

Er zijn verschillende wijzigingen aangebracht aan adduser. De meest opvallende verandering is dat --disabled-password en --disabled-login nu functioneel identiek zijn. Lees voor meer details /usr/share/doc/adduser/NEWS.Debian.gz.

De voorspelbare naamgevingslogica in systemd voor netwerkinterfaces is uitgebreid om stabiele namen te genereren uit Xen netfront apparaatinformatie. Dit betekent dat in plaats van het vroegere systeem van door de kernel toegewezen namen, interfaces nu stabiele namen hebben van de vorm enX#. Pas uw systeem aan voordat u opnieuw opstart na de upgrade. Meer informatie is te vinden op de wiki-pagina NetworkInterfaceNames.

dash, dat standaard de systeemshell /bin/sh levert in Debian, is overgestapt op het behandelen van de circumflex (^) als een letterlijk letterteken, zoals altijd het beoogde POSIX-conforme gedrag was. Dit betekent dat in bookworm [^0-9] niet langer betekent “niet 0 tot 9” maar “0 tot 9 en ^”.

Het hulpprogramma netcat voor het lezen en schrijven van gegevens over netwerkverbindingen ondersteunt abstracte sockets, en gebruikt ze standaard in sommige omstandigheden.

Standaard wodtnetcat geleverd door netcat-traditional. Als netcat echter geleverd wordt door het pakket netcat-openbsd en u een AF_UNIX-socket gebruikt, dan is deze nieuwe standaard van toepassing. In dit geval zal de optie -U voor het commando nc nu een argument dat begint met een @, interpreteren als een vraag naar een abstracte socket in plaats van als een bestandsnaam in de huidige map die begint met een @. Dit kan beveiligingsimplicaties hebben omdat bestandssysteemtoegangsrechten niet langer kunnen worden gebruikt om de toegang tot een abstracte socket te controleren. U kunt een bestandsnaam blijven gebruiken die begint met een @ door de naam vooraf te laten gaan door ./ of door een absoluut pad op te geven.

Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Paragraaf 4.8, “Verouderde pakketten” voor een beschrijving).

Tot de uitgefaseerde pakketten behoren:

Met de volgende uitgave van Debian 13 (codenaam trixie) zal sommige functionaliteit verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 13.

Daaronder valt de volgende functionaliteit: