第5章 bullseye で注意すべき点

Broadwell 以降の Intel 社製の GPU では、ハードウェアによる動画処理のため専用の API (VA-API) intel-media-va-driver がデフォルトになります。従来の va-driver-all がインストールされたシステムでは、新しいドライバーに自動的に更新されます。

レガシードライバーパッケージの i965-va-driver はまだ利用可能であり、Cannon Lake マイクロアーキテクチャまでサポートされます。新しいドライバーではなくレガシードライバーを使用したい場合は、/etc/environment ファイルを変更するなどして、環境変数 LIBVA_DRIVER_NAME を i965 に設定してください。詳細は、wiki の hardware video acceleration のページを参照してください。

XFS ファイルシステムでマウントオプション barrier と nobarrier がなくなりました。アップデート前に /etc/fstab でそれぞれのキーワードを確認し、削除するのを推奨します。これらのオプションを使用しているパーティションは、マウントできなくなります。

bullseye ではセキュリティスイートの名前が codename/updates ではなく bullseye-security に変更されます。OS のアップグレード時に、ユーザが自分で APT のファイルのソースリストを更新してください。

例えば APT のセキュリティのソースライン設定は、以下のようになります。

deb https://deb.debian.org/debian-security bullseye-security main contrib

APT の設定で固定 (pinning) をしている、あるいは APT::Default-Release が指定してある場合、セキュリティアーカイブのコードネームがアーカイブのものと一致しなくなるので調整が必要となるでしょう。bullseye で動作する APT::Default-Release 行の例は以下です:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

これは APT の正規表現機能 (/ 内) を利用しています。

ローカルアカウントに対して、デフォルトのパスワード暗号化が SHA-512 からyescrypt(詳細は crypt(5)) に変更されました。これにより、辞書ベースのパスワード推測攻撃に対して時間と空間計算量の観点からセキュリティの向上が期待されます。

この改善されたセキュリティ機能の利点を享受するには、ローカルパスワードを変更する必要があります。passwd コマンドを使うなどしてください。

以前のパスワードの生成にどのようなパスワードハッシュ方法で使っていたとしても、そのパスワードは使い続けられます。

yescrypt は Debian 10 (buster) ではサポートされていません。そのため、bullseye システムのshadow パスワードファイル (/etc/shadow) を buster システムにはコピーできません。これらのファイルがコピーされた場合、bullseye システム上で変更されたパスワードは buster システムでは動作しません。同様に、bullseye システムで暗号化されたパスワードは buster システムへカット＆ペーストできません。

bullseye と buster 間でパスワードハッシュに互換性が必要な場合、/etc/pam.d/common-password を以下の様に変更してください:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

そして、yescrypt を sha512 に変更してください。

NSS NIS と NIS+ のサポートは、libnss-nis と libnss-nisplus という別のパッケージに分けられました。残念ながら、現時点では glibc はそれらのパッケージに依存しておらず、推奨のみしています。

そのため NIS もしくは NIS+ を使用しているシステムでは、OS のアップグレード後にそれらのパッケージがインストールされているか確認することをお勧めします。

DNS リゾルバ unbound は設定のファイルを分割したときの動作を変更しました。分割された複数のファイルを include: ディレクティブを使用して設定を定義している場合、NEWS ファイル を読むのをお勧めします。

The rsync parameter --noatime has been renamed --open-noatime. The old form is no longer supported; if you are using it you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository. The version of rsync in the initial release of bullseye also deprecated --copy-devices in favor of --write-devices, but version 3.2.3-4+deb11u1 (included in bullseye point release 11.1) reverts this deprecation and supports both options.

長らく vim のアドオンは vim-scripts として提供されていました。しかし vim-addon-manager ではなくVim のネイティブな「パッケージ」機能をそのまま使用するようになります。Vim のユーザーは NEWS ファイル に従いアップグレードの準備をしてください。

(bullseye でリリースとなる) OpenStack Victoria は、QoS ブロックデバイスに cgroup v1 を必要とします。bullseye では cgroup v2 がデフォルトになったため (詳細は 「コントロールグループ v2」)、sysfs ツリー内の /sys/fs/cgroup には/sys/fs/cgroup/blkio などの cgroup v1 の機能が含まれていません。そしてその結果、cgcreate -g blkio:foo が動作しません。nova-compute や cinder-volume が動作している OpenStack ノードでは、デフォルト設定を上書きして従来の cgroup ヒエラルキーに戻すために、systemd.unified_cgroup_hierarchy=false とsystemd.legacy_systemd_cgroup_controller=false をカーネルコマンドラインに加えることを強く推奨します。

開発元からの推奨事項では、bullseye でリリースされた OpenStack Victoria が新しい YAML フォーマットを使用するため、OpenStack API が更新され互換性がなくなります。その結果、そのままでは Nova, Glance, Keystone を含む policy.json ファイルに全て API ポリシーが明記されているほとんどの OpenStack サービスは動作しません。そのため デフォルトで全てのポリシーが記述された 00_default_policy.yaml を含む /etc/PROJECT/policy.d が配布されるようになります。このファイルは、デフォルトで全てコメントアウトされています。

従来のファイル policy.json が参照されるのを防ぐためにDebian OpenStack はファイル名を disabled.policy.json.old に変更します。policy.json を単純に削除してしまった方が良い場合もあるかもしれません。そのため、アップデート前に policy.json をバックアップしておく事を強く推奨します。

詳細は開発元のドキュメントを参照してください。

通常のアップグレードとは異なり、buster から bullseye への更新中は sendmail が停止し、通常よりも長いダウンタイムを発生します。一般的な対処法ですが、ダウンタイムを縮小するためには「サービスのダウン期間の準備」を参照してください。

gvfs-fuse, kio-fuse, sshfs はFUSE 3に移行しました。アップグレード中に fuse3 がインストールされ、fuse パッケージは削除されます。

特別な環境、例えば 4章Debian 10 (buster) からのアップグレード に記述されている推奨されるアップデート手順ではなく、apt-get dist-upgradeのみ実行してアップグレードした場合、fuse3 に依存するパッケージは、アップデート中に更新されない可能性があります。bullseye の apt を使って 「システムのアップグレード」 で説明されている手順を実行する、もしくは手動でアップデートすることで状態が解消されます。

バージョン 2.2.27-1 以降では、GnuPG のユーザー毎の設定が ~/.gnupg/gpg.conf に移動され、そして ~/.gnupg/options は 使用されなくなりました。必要であれば、ファイル名を変更するか、内容を新たな位置に移動してください。

Linux 5.10 より、全てのユーザーはデフォルトでユーザー名前空間を作れるようになりました。これにより、ウェブブラウザやコンテナマネージャーが、ルート権限での実行あるいは setuid-root されたヘルパーを使わずに、信頼できない・信頼性が低いコードに対してより制限されたサンドボックスを作成できるようになりました。

以前の Debian ではこの機能はルート権限で実行されるプロセスのみに制限されていました。なぜなら、この機能はカーネル内のセキュリティの問題をより晒すことになるからです。 しかし、この機能の実装が成熟したことによって、セキュリティよりもこの機能を有効にすることによる恩恵の方が上まわったと確信しています。

この機能を制限したい場合、sysctl を以下のように設定してください:

user.max_user_namespaces = 0
      

ウェブブラウザ、WebKitGTK, Flatpak, GNOME のサムネイル機能などを含む、様々なデスクトップアプリやコンテナの機能はこの制限下では動作しないであろうことに注意してください。

Debian 固有の sysctl 設定 kernel.unprivileged_userns_clone=0 も同様の効果がありますが、非推奨となっています。

Linux 5.10 より、Debian ではデフォルトで bpf() の非特権呼び出しを無効にしています。しかし、必要であれば管理者はこの設定をkernel.unprivileged_bpf_disabled sysctl を 0 か 1 に書き込むことで後ほど変更できるようになっています。

bpf() の非特権呼び出しを有効にしたい場合、sysctl を以下のように設定してください:

kernel.unprivileged_bpf_disabled = 0
      

Debian でのデフォルト変更の背景については、 bug 990411 を参照してください。

redmine パッケージは bullseye では提供されません。開発元のサポートが停止した (重大なセキュリティ修正バグのみへの対応を行う) 古いバージョンから bullseye でのバージョンへの rails の移行を行うには遅すぎたからです。Ruby Extras のメンテナらは、開発元の状態を追いかけ、リリース後に動作するパッケージが出来次第、backports 経由でパッケージをリリースする予定です。アップグレード作業までこの動きが待てない場合、特定アプリケーションの隔離用の buster が動作する仮想マシンあるいはコンテナが利用できるでしょう。

bullseye の Exim バージョンはメジャーアップデートである、とご理解ください。信頼しないソース (例えば送信者や受信者が信頼できない場合) からの汚染されたデータの読み取りというコンセプトが導入されました。汚染されたデータ (例: $local_part や $domain) は、ファイル、ディレクトリ名やコマンド名など他の項目に使用できません。

この変更は、適切にアップデートしていない設定ファイルを破壊します。古い Debian の Exim の設定ファイルは変更なしでは使用できません。ローカルでの修正を加えてから新しい設定をインストールする必要があります。

動作しない例は、以下のような設定を含みます:

この変更に対する基本的な方針は、(リモートから与えられる) そのままの値ではなく、先の処理での参照結果を使用することです。

アップグレードを簡単にするために、一時的に汚染に関するエラーを警告へダウングレードするオプションがメインの設定項目にあります。このオプションにより、古い設定ファイルが新しい Exim でも使用できます。この機能を使用するには、アップグレード前に Exim の設定ファイル (例えば /etc/exim4/exim4.conf.localmacros) に以下を加えてください:

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

アップグレードが完了したら、汚染警告をログファイルで確認してください。これは導入時より削除予定の一時的な回避策です。

Linux カーネルの変更により、SCSI デバイスの検出は決定的ではなくなりました。ディスクの検出順に依存するインストールでは問題になる可能性があります。回避方法が２つあり、/dev/disk/by-path をリンクするか、udev のルールを Linux カーネルのメーリングリストで提案されているようにしてください。

rdiff-backup ネットワークプロトコルバージョンの 1 と 2 には互換性がありません。これが意味するところは、ローカルとリモートで (1 であれ 2 であれ) 同じバージョンの rdiff-backup プロトコルで動作させる必要があるということです。buster ではバージョン 1.2.8 を、bullseye では バージョン 2.0.5 を提供するため、ローカルもしくはリモートのシステムのみを buster から bullseye へアップグレードすると、2 つのシステム間で実行する rdiff-backup は停止するでしょう。

rdiff-backup のバージョン 2.0.5 は buster-backports アーカイブから利用できます。backports を参照してください。これによりまず buster のシステムの rdiff-backup パッケージのみをアップグレードでき、そのあと状況に応じてシステムを個別に bullseye へアップグレードできます。

現在 bullseye および buster-security (DSA-4934-1 参照) に存在している intel-microcode パッケージには 2 つの重大なバグが含まれていることが判明しています。いくつかの CoffeeLake マイクロアーキテクチャの CPU では、この更新が firmware-iwlwifi を利用しているネットワークインターフェイスの動作がおかしくなる可能性があり、そして非常に古いファームウェア・BIOS を搭載しているシステム上の Skylake R0/D0 マイクロアーキテクチャの CPU ではシステムが起動中にハングアップすることがあります。

これらの問題のいずれかのために DSA-4934-1 での更新を控えていた、もしくはセキュリティアーカイブを有効にしていなかった場合、bullseye にあるintel-microcode パッケージへのアップグレードによってシステム起動時にハングアップする、または iwlwifi が動作しなくなるのに注意してください。この場合、起動時にマイクロコードの読み込みを無効にすることで修復できます: Debian セキュリティ勧告 (DSA) 内の指示を参照してください。これは intel-microcode パッケージ内の README.Debian にも記載されています。

buster で libgc1c2 に依存するパッケージ (例: guile-2.2-libs) は、bullseye への一度目のフルアップグレード中に保留される可能性があります。再度アップグレードを実施するとこの問題は解消されます。この問題の背景情報はバグ #988963 を参照ください。

fail2ban パッケージはメールでの通知をするよう設定できます。これは Debian では複数のパッケージから提供されている mail コマンドを使っています。bullseye のリリース直前でのセキュリティ修正 (mailutils から mail コマンドを使っているシステムで必要なもの) が bsd-mailx から提供される mail を使っているシステムでこの機能が動作しなくなりました。fail2ban と bsd-mailx の組み合わせを利用していて fail2ban からメールを送信させたいユーザーは、他の mail コマンドを提供するパッケージに切り替える、あるいは手動で (/etc/fail2ban/action.d/ 以下の複数の箇所で "-E 'set escape'" を挿入している) 開発元でのコミット を外します。

アップグレードの最中、いつものように既存のセキュアシェル (SSH) 接続は繋がったままですが、今回は不幸な事情により新たに SSH 接続が出来ない期間が通常より長くなっています。接続が切れる可能性がある SSH 接続を介してアップグレードを実行する場合、システム全体をアップグレードする前に openssh-server のアップグレードを推奨します。

openvswitch のアップグレードを実施すると、起動後にブリッジの再設定に失敗する可能性があります。回避方法は以下を実行してください:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

詳細については、984760 を参照してください。

apt full-upgrade が完了した時点で、「正規」のアップグレードは完了しています。bullseye へのアップグレードについては、再起動の実行前に必要となる特別な作業はありません。

Debian がセキュリティ問題に対する最小限のバックポートを約束できないパッケージがいくつか存在しています。これらについては以下の章で触れられています。

	注記
	debian-security-support パッケージが、インストールされたパッケージのセキュリティサポート状況を確認するのに役立ちます。

ポインティングデバイスなしで、gnome-control-center で提供される GNOME の「設定」アプリで直接を直接変更する方法はありません。回避方法として、右カーソルを 2 回押下するとサイドバーからメインコンテントに移ることができます。サイドバーに戻るには、Ctrl+F で検索を開始して、何か打ちこんでください。そして、Esc で検索をキャンセルします。そうしたら、上カーソルと下カーソルでサイドバーを操作してください。検索結果をキーボードだけで、選択する方法はありません。

buster より使用されている sulogin により、rescue オプションでブートする場合、常にパスワードが必要になります。もし、未設定ならば、レスキューモードでのブートが使用できなくなります。しかし、カーネルパラメータの init=/sbin/sulogin --force により、このモードを使用することができます。

systemd をレスキューモード (シングルユーザーモードとも呼ばれています: systemd(1) 参照) と同じ環境にするには、sudo systemctl edit rescue.service を実行してファイルを生成し、下記の様にしてください:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

emergency.service ユニットも便利かもしれません。このユニットは、特定のエラー時 (systemd.special(7) 参照) か、emergency がカーネルコマンドラインに追加されている場合 (レスキューモードが使えない時など)、自動的にシングルユーザーモードを起動します 。

背景とセキュリティに関する考察については、 #802211 を参照してください。

The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV mode. Such virtual machines need to be converted to the 64-bit PC architecture.

You can check which mode a Xen guest is running (inside the virtual machine):

$ cat /sys/hypervisor/guest_type
PV
        

Virtual machines that return, for example, PVH or HVM are not affected.

以下は、よく知られていて特に時代遅れとなってしまったパッケージの一覧です (説明については 「利用されなくなったパッケージ」 参照）。

時代遅れとなったパッケージの一覧には以下が含まれます:

次のリリースである Debian 12 (コードネーム bookworm) では、いくつかの機能が非推奨となります。12 へ更新する際にトラブルを防ぐためには、ユーザーは他の選択肢へ移行する必要があります。

これには以下の機能が含まれます: