Kapitel 5. Dinge, die Sie über Bullseye wissen sollten

Für Intel-GPUs auf Broadwell-Chips oder neuer wird die API für Hardwarebeschleunigung (VA-API) jetzt standardmäßig über intel-media-va-driver abgewickelt, um hardware-beschleunigte Videos zu dekodieren. Systeme, auf denen va-driver-all installiert ist, werden automatisch auf den neuen Treiber hochgerüstet.

Das ursprüngliche Treiberpaket i965-va-driver ist ebenfalls noch verfügbar und bietet Support bis zur Cannon Lake Mikroarchitektur. Um diesen alten Treiber gegenüber dem neuen zu bevorzugen, setzen Sie die Umgebungsvariable LIBVA_DRIVER_NAME auf i965, z.B. indem Sie die Variable in /etc/environment definieren. Weitere Informationen finden Sie im Wiki unter Hardware Video Acceleration.

Die Unterstützung für die mount-Optionen barrier und nobarrier wurde aus dem XFS-Dateisystem entfernt. Es wird empfohlen, zu überprüfen, ob diese Optionen in /etc/fstab enthalten sind, und sie in diesem Fall zu entfernen. Bei Partitionen, für die diese Optionen verwendet werden, wird das Einbinden (mount) fehlschlagen.

Für Bullseye ist die Security-Suite des Archivs jetzt mit bullseye-security benannt (statt dem früheren codename/updates; Benutzer sollten ihre APT source-list-Dateien beim Upgrade entsprechend anpassen.

Die Security-Zeile in Ihrer APT-Konfiguration könnte für Bullseye so aussehen:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Falls Ihr APT-Konfiguration auch Pinning oder APT::Default-Release enthält, sind dabei wahrscheinlich Anpassungen erforderlich, da der Codename im Security-Archiv nicht mehr mit dem im regulären Archiv übereinstimmt. Ein Beispiel für eine funktionierende APT::Default-Release-Zeile für Bullseye sieht aus wie folgt:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

which takes advantage of APT's support for regular expressions (inside /).

Der Passwort-Hash für lokale Systemkonten wurde geändert und nutzt standardmäßig statt SHA-512 jetzt yescrypt (nähere Infos unter crypt(5)). Wir erwarten, dass dies die Sicherheit gegen wörterbuchbasierte Angriffe zum Erraten von Passwörter erhöht (sowohl was den benötigten Speicher wie auch die für solch einen Angriff nötige Zeit anbetrifft).

Um von diesem Sicherheitsvorteil zu profitieren, sollten Sie Ihre lokalen Passwörter ändern, z.B. mit dem passwd-Befehl.

Alte Passwörter werden weiter funktionieren, unabhängig davon, welcher Passwort-Hash zu deren Erstellung verwendet wurde.

Yescrypt wird nicht von Debian 10 (Buster) unterstützt. Aufgrunddessen können shadow-Passwortdateien (/etc/shadow) nicht von einem Bullseye-System zurück auf ein Buster-System kopiert werden. In einem solchen Fall würden Passwörter, die unter Bullseye erstellt wurden, unter Buster nicht funktionieren. Vergleichbar dazu können Passwörter auch nicht via Kopieren&Einfügen von einem Bullseye- auf ein Buster-System übertragen werden.

Falls solch eine Kompatibilität zwischen Bullseye und Buster benötigt wird, müssen Sie /etc/pam.d/common-password anpassen. Suchen Sie die folgende Zeile:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

und ersetzen Sie yescrypt durch sha512.

Die Unterstützung für NSS, NIS und NIS+ wurde in separate Pakete namens libnss-nis bzw. libnss-nisplus verschoben. Unglücklicherweise kann bei glibc keine Abhängigkeit auf diese neuen Pakete festgelegt werden, sie werden jetzt von glibc lediglich empfohlen.

Auf Systemen, die NIS oder NIS+ verwenden, sollte daher nach dem Upgrade kontrolliert werden, ob diese Pakete korrekt installiert sind.

Der DNS-Resolver unbound hat die Art geändert, wie mit Konfigurationsdatei-Fragmenten umgegangen wird. Falls Sie include:-Regeln verwenden, um einzelne Fragmente in eine gültige Konfiguration zusammenzuführen, sollten Sie die NEWS-Datei lesen.

The rsync parameter --noatime has been renamed --open-noatime. The old form is no longer supported; if you are using it you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository. The version of rsync in the initial release of bullseye also deprecated --copy-devices in favor of --write-devices, but version 3.2.3-4+deb11u1 (included in bullseye point release 11.1) reverts this deprecation and supports both options.

Die Addons für vim, bereitgestellt vom Paket vim-scripts, werden jetzt von vim's nativer „package“-Funktionalität verwaltet, statt von vim-addon-manager. Vim-Benutzer sollten sich vor dem Upgrade darauf vorbereiten, Instruktionen dazu sind in der NEWS-Datei zu finden.

OpenStack Victoria (enthalten in Bullseye) erfordert cgroup v1 für die Block-Device QoS-Funktionalität. Da seit Bullseye die Verwendung von cgroupv2 das Standardverhalten ist (Näheres in Abschnitt 2.2.4, „Control groups v2“), enthält der sysfs-Verzeichnisbaum in /sys/fs/cgroup keine cgroupv1-Funktionen wie /sys/fs/cgroup/blkio, und aufgrunddessen wird cgcreate -g blkio:foo fehlschlagen. Für OpenStack-Nodes, auf denen nova-compute oder cinder-volume läuft, wird dringend empfohlen, die Parameter systemd.unified_cgroup_hierarchy=false und systemd.legacy_systemd_cgroup_controller=false zur Kernel-Befehlszeile hinzuzufügen, um die Standardeinstellungen zu überschreiben und die alte cgroup-Hierarchie weiter zu verwenden.

Gemäß den Empfehlungen von Upstream wurde die OpenStack API von OpenStack Victoria (die in Bullseye enthaltene Version) dahingehend geändert, dass jetzt für Regel-Dateien das neue YAML-Format verwendet wird. Aufgrunddessen scheinen die meisten OpenStack-Dienste (inklusive Nova, Glance und Keystone) beschädigt zu sein, wenn die API-Regeln explizit in policy.json-Dateien definiert sind. Daher enthalten die Pakete jetzt ein Verzeichnis /etc/PROJEKTNAME/policy.d mit einer Datei namens 00_default_policy.yaml, die alle Regeln als (standardmäßig) auskommentierte Zeilen enthält.

Um zu vermeiden, dass die alten policy.json-Dateien aktiv bleiben, benennen Debian's OpenStack-Pakete diese Datei jetzt um in disabled.policy.json.old. In einigen Fällen, für die zeitnah keine bessere Lösung gefunden werden konnte, wird die policy.json sogar einfach gelöscht. Es wird daher dringend empfohlen, dass Sie vor dem Upgrade Sicherungen der policy.json-Dateien auf Ihrem System erstellen.

Weitere Details finden Sie in der Upstream-Dokumentation.

Anders als bei normalen Aktualisierungen von sendmail wird während des Upgrades von Buster auf Bullseye der sendmail-Dienst für eine längere Zeit als gewöhnlich gestoppt. Grundsätzliche Informationen, wie Sie diese Downtime reduzieren können, finden Sie in Abschnitt 4.1.3, „Vorbereitung auf die Deaktivierung von Diensten“.

Einige Pakete wie gvfs-fuse, kio-fuse und sshfs haben auf FUSE 3 umgestellt. Das führt dazu, dass bei diesem Upgrade fuse3 installiert und fuse vom System entfernt wird.

Unter besonderen Umständen, z.B. wenn Sie das Upgrade einfach nur durch Ausführen von apt-get dist-upgrade durchführen, statt durch die in Kapitel 4, Upgrade von Debian 10 (Buster) dokumentierte Vorgehensweise, könnten Pakete, die von fuse3 abhängen, zurückgehalten werden. Sie können dies Problem beheben, indem Sie die Schritte in Abschnitt 4.4.5, „Upgrade des Systems“ mit der apt-Version aus Bullseye erneut ausführen oder indem Sie die Pakete händisch aktualisieren.

Beginnend mit Version 2.2.27-1 wurde die benutzerspezifische Konfiguration der GnuPG-Suite vollständig auf ~/.gnupg/gpg.conf umgestellt; die Datei ~/.gnupg/options wird nicht mehr verwendet. Bitte benennen Sie die Datei - falls notwendig - um, oder verschieben Sie deren Inhalt an den neuen Ort.

Ab Linux 5.10 sind alle Benutzer standardmäßig berechtigt, nutzerspezifische Namensräume (User Namespaces) anzulegen. Dies erlaubt es Programmen wie Webbrowsern oder Container-Managern, restriktivere Sandbox-Umgebungen für nicht oder weniger vertrauenswürdigen Code zu erzeugen, ohne dass sie dabei als root laufen oder ein setuid-root-Hilfsskript verwenden müssen.

Früher war Debians Standardeinstellung hierbei, diese Funktionalität nur Prozessen zu erlauben, die als root laufen, weil sie weitere Sicherheitsprobleme im Linux-Kernel freigelegt hat. Da die Implementierung dieser Funktion in der Zwischenzeit aber ausgereift ist, sind wir jetzt zuversichtlich, dass das Risiko der allgemeinen Freigabe aufgewogen wird durch den Sicherheitsgewinn, den diese Funktionalität bietet.

Falls Sie es vorziehen, diese Funktion nur auf root beschränkt zu halten, setzen Sie dieses sysctl:

user.max_user_namespaces = 0
      

Beachten Sie aber, dass verschiedene Desktop- und Containerfunktionalitäten nicht funktionieren werden, wenn diese Einschränkung in Kraft ist, unter anderem bei Webbrowsern, WebKitGTK, Flatpak und der Erstellung von Vorschaubildern in GNOME.

Das Debian-spezifische sysctl kernel.unprivileged_userns_clone=0 hat einen ähnlichen Effekt, ist aber überholt.

Ab Linux 5.10 unterbindet Debian standardmäßig unpriviligierte Aufrufe von bpf(). Allerdings kann ein Admin dies - falls erforderlich - später anpassen, indem der Sysctl kernel.unprivileged_bpf_disabled auf 0 oder 1 gesetzt wird.

Falls Sie unpriviligierte Aufrufe von bpf() weiter erlauben möchten, setzen Sie diesen Sysctl:

kernel.unprivileged_bpf_disabled = 0
      

Hintergrundinformationen zur dieser Änderung der Standardeinstellung finden Sie im Fehlerbericht #990411, in dem diese Änderung angefordert wurde.

Das Paket redmine wird in Bullseye nicht angeboten, da es zu spät war, um von der alten rails-Version (die das Ende der Unterstützung durch die Upstream-Autoren erreicht hat und nur noch begrenzt Korrekturen für Sicherheitsprobleme erhält) auf die neue, in Bullseye enthaltene Version zu migrieren. Die Betreuer von Ruby Extras sind dicht an den Upstream-Autoren dran und werden eine neue Version über backports veröffentlichen, sobald sie freigegeben ist und die Pakete funktionieren. Falls Sie mit einem Upgrade darauf nicht warten möchten, können Sie eine VM (virtuelle Maschine) oder einen Container nutzen, in dem Buster läuft, um diese spezielle Anwendung zu isolieren.

Bitte sehen Sie die Bullseye-Version von Exim als großes Exim-Upgrade an. Sie führt ein Konzept ein, das von nicht-vertrauenswürden Quellen empfangene Daten als unrein ansieht, wie z.B. Nachrichtenabsender oder Empfänger. Solche unreinen Daten (z.B. $local_part oder $domain) können nicht als Teil von Datei- oder Verzeichnisname oder Befehlsnamen genutzt werden.

Dies wird Konfigurationen unbrauchbar machen, die nicht entsprechend angepasst werden. Alte Exim-Konfigurationsdateien werden unverändert auch nicht mehr funktionieren; die neue Konfiguration muss installiert und lokale Änderungen dann erneut eingepflegt werden.

Typische Beispiele, die nicht mehr funktionieren werden:

Die zugrunde liegende Strategie, mit dieser Änderung umzugehen ist, das Ergebnis einer zusätzlicher Abfrage zu verwenden, statt dem (von extern empfangenen) Originalwert.

Um das Upgrade zu erleichtern, gibt es eine neue Haupt-Konfigurationsoption, die solche Unreine-Daten-Fehler auf Warnungen herabstuft, und die es somit ermöglicht, die alte Konfiguration mit der neuen Exim-Version laufen zu lassen. Um diese Funktion zu nutzen, fügen Sie

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

zu Ihrer Exim-Konfiguration (z.B. zu /etc/exim4/exim4.conf.localmacros) hinzu, bevor Sie das Upgrade starten, und schauen Sie in der Logdatei nach solchen Warnungen. Dies ist nur ein vorübergehender Workaround, der bereits wieder zur Löschung vorgesehen ist.

Aufgrund von Änderungen im Linux-Kernel ist das Ergebnis der Erkennung von SCSI-Geräten nicht mehr deterministisch (sicher vorhersagbar). Dies könnte ein Problem sein für Installationen, die sich auf die Reihenfolge der erkannten Geräte verlassen. Zwei mögliche Alternativen sind die Verwendung von Links in /dev/disk/by-path oder einer udev-Regel, wie in diesem Mailinglisten-Beitrag empfohlen.

Die Netzwerk-Protokolle der Versionen 1 und 2 von rdiff-backup sind inkompatibel. Das bedeutet, dass Sie lokal und fern die gleiche Version (entweder 1 oder 2) von rdiff-backup verwenden müssen. Da Buster die Version 1.2.8 enthält und Bullseye die Version 2.0.5, werden rdiff-backup-Läufe nicht mehr funktionieren, wenn Sie nur das lokale System oder nur das ferne System von Buster auf Bullseye hochrüsten.

Die Version 2.0.5 von rdiff-backup ist im buster-backports-Archiv verfügbar, siehe backports. Dies gibt Ihnen die Möglichkeit, zuerst nur das rdiff-backup-Paket auf Ihren Buster-Systemen hochzurüsten, und dann unabhängig voneinander die Systeme auf Bullseye hochzuziehen.

Das aktuell in bullseye und buster-security enthaltene intel-microcode-Paket (schauen Sie unter DSA-4934-1) hat bekanntermaßen zwei gravierende Fehler. Für einige CoffeeLake-CPUs könnte dieses Update Netzwerkschnittstellen außer Funktion setzen , die firmware-iwlwifi verwenden, und bei einigen Skylake-R0/D0-CPUs auf Systemen mit stark veralteter Firmware (BIOS) könnte das System beim Booten hängen bleiben.

Wenn Sie das Update von DSA-4934-1 wegen eines dieser Probleme zurückgehalten haben, oder das Security-Archiv nicht aktiviert haben, seien Sie gewarnt, dass beim Upgrade des intel-microcode-Pakets auf die Bullseye-Version Ihr System beim Booten hängen könnte oder iwlwifi-Schnittstellen nicht mehr funktionieren könnten. In diesem Fall können Sie das System wiederherstellen, indem Sie das Laden von Microcode beim Booten deaktivieren; schauen Sie in die Anweisungen in der DSA (oder in die README.Debian-Datei im intel-microcode-Paket).

Pakete, die in Buster von libgc1c2 abhängen (z.B. guile-2.2-libs), könnten beim ersten vollständigen Upgrade-Durchlauf auf Bullseye zurückgehalten werden. Das Upgrade ein weiteres Mal zu starten, sollte das Problem beheben. Hintergrundinfos zu diesem Problem finden Sie im Fehlerbericht #988963.

Das fail2ban-Paket kann konfiguriert werden, E-Mail-Benachrichtigungen zu versenden. Es verwendet dazu mail, das von verschiedenen Paketen in Debian bereitgestellt wird. Eine Sicherheitsaktualisierung direkt vor der Veröffentlichung von Bullseye (erforderlich auf Systemen, die mail aus dem Paket mailutils nutzen) hat diese Funktionalität für Systeme beschädigt, die mail aus dem bsd-mailx-Paket verwenden. Nutzer von fail2ban in Kombination mit bsd-mailx, die möchten, dass fail2ban E-Mails versendet, sollten entweder auf ein anderes Paket wechseln, das mail bereitstellt, oder den Upstream commit rückgängig machen, der die Zeichenfolge "-E 'set escape'" an mehreren Stellen in /etc/fail2ban/action.d/ hinzugefügt hat.

Obwohl bereits vorhandene Secure-Shell- (SSH) Verbindungen während des Upgrades wie gewohnt weiter funktionieren sollten, ist aufgrund unglücklicher Umstände die Zeitspanne, während derer keine neuen SSH-Verbindungen aufgebaut werden können, länger wie sonst. Falls das Upgrade über eine SSH-Verbindung ausgeführt wird, die währenddessen unter Umständen unterbrochen werden könnte, wird empfohlen, das Paket openssh-server separat zu aktualisieren, bevor das vollständige System-Upgrade gestartet wird.

The openvswitch upgrade may fail to recover bridges after boot. The workaround is:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

For more info, see bug #989720.

Wenn apt full-upgrade beendet ist, sollte das „formale“ Upgrade abgeschlossen sein. Nach dem Upgrade auf Bullseye gibt es keine besonderen Aktionen, die vor dem nächsten Neustart erledigt werden müssen.

Es gibt einige Pakete, bei denen Debian nicht versprechen kann, dass minimale Rückportierungen zur Behebung von Sicherheitslücken in die Pakete mit einfließen. Diese Pakete werden in den folgenden Abschnitten behandelt.

	Anmerkung
	Das Paket debian-security-support hilft Ihnen dabei, den Sicherheitsstatus der installierten Pakete im Blick zu behalten.

Ohne Zeigegerät/Maus gibt es keinen direkten Weg, um Einstellungen im GNOME-Einstellungen-Programm (aus dem gnome-control-center-Paket) durchzuführen. Um dieses Problem zu umgehen, können Sie von der Seitenleiste (links) zum Hauptfenster navigieren, indem Sie zweimal die Taste Pfeil rechts drücken. Um zurück zur Seitenleiste zu gelangen, öffnen Sie eine Suche mittels Strg+F, tippen irgendetwas ein, und drücken dann Esc, um die Suche abzubrechen. Jetzt können Sie die Tasten Pfeil hoch und Pfeil runter benutzen, um in der Seitenleiste zu navigieren. Es ist leider nicht möglich, Suchergebnisse über die Tastatur auszuwählen.

Mit der Implementation von sulogin, die seit Buster genutzt wird, erfordert das Booten mit der rescue-Option immer ein root-Passwort. Falls keins festgelegt wurde, führt dies dazu, dass der Rescue-Modus letztlich nicht nutzbar ist. Allerdings ist es trotzdem möglich, mit dem Kernel-Parameter init=/sbin/sulogin --force zu booten.

Um etwas vergleichbares zu erreichen, wann immer systemd im Rescue-Modus bootet, (auch bekannt als Single-Mode; siehe systemd(1)), führen Sie sudo systemctl edit rescue.service aus und erstellen eine Datei, die folgendes enthält:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Es könnte aber auch (oder stattdessen) nützlich sein, dies für die emergency.service-Unit durchzuführen, die im Falle bestimmter Fehler (siehe systemd.special(7)) automatisch gestartet wird, oder falls emergency zur Kernel-Befehlszeile hinzugefügt wird (also z.B. in Fällen, wenn das System nicht über den Rescue-Modus wiederbelebt werden kann).

Hintergrundinformationen und eine Diskussion über diesbezügliche Sicherheitsaspekte finden Sie unter #802211.

The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV mode. Such virtual machines need to be converted to the 64-bit PC architecture.

You can check which mode a Xen guest is running (inside the virtual machine):

$ cat /sys/hypervisor/guest_type
PV
        

Virtual machines that return, for example, PVH or HVM are not affected.

Hier eine Liste bekannter und erwähnenswerter veralteter Pakete (lesen Sie hierzu auch Abschnitt 4.8, „Veraltete Pakete“).

Zu diesen Paketen gehören:

Mit der nächsten Veröffentlichung von Debian 12 (Codename Bookworm) werden einige Funktionalitäten missbilligt sein. Nutzer müssen auf andere Alternativen umsteigen, um Schwierigkeiten nach dem Upgrade auf Debian 12 zu vermeiden.

Dazu gehören folgende Funktionalitäten: