Глава 5. Что нужно знать о bullseye

Содержание

5.1. Конкретные шаги обновления для bullseye
5.1.1. Файловая система XFS больше не поддерживает параметры barrier/nobarrier
5.1.2. Изменен формат раздела безопасности
5.1.3. По умолчанию для хэширования паролей используется yescrypt
5.1.4. Для поддержки NSS NIS и NIS+ требуются новые пакеты
5.1.5. Обработка фрагментов файлов настройки в unbound
5.1.6. Устаревание параметра rsync
5.1.7. Обработка дополнений Vim
5.1.8. OpenStack и cgroups v1
5.1.9. Файлы политики API OpenStack
5.1.10. Время простоя sendmail во время обновления
5.1.11. FUSE 3
5.1.12. Файл параметров GnuPG
5.1.13. Linux по умолчанию поддерживает использование пользовательских пространств имен
5.1.14. Linux по умолчанию отключены непривилегированные вызовы bpf()
5.1.15. redmine отсутствует в bullseye.
5.1.16. Exim 4.94
5.1.17. Проверка устройства SCSI является недетерминированной
5.1.18. rdiff-backup требует одновременного обновления сервера и клиента
5.1.19. Проблемы с микрокодом процессора Intel
5.1.20. Обновления, включающие libgc1c2, требуют двух запусков
5.1.21. fail2ban не может отправить электронное письмо, используя mail из bsd-mailx
5.1.22. Во время обновления новые подключения по SSH невозможны
5.1.23. Обновление Open vSwitch требует изменения interfaces(5).
5.1.24. То, что следует сделать после обновления и до перезагрузки
5.2. Элементы, не ограничивающиеся процессом обновления
5.2.1. Ограничения поддержки безопасности
5.2.2. Доступ к приложению Настройки GNOME без использования мыши
5.2.3. Парметр загрузки rescue недоступен без пароля root
5.2.4. 32-битные гостевые версии Xen PV не поддерживаются
5.3. Устаревание и нецелесообразность
5.3.1. Заслуживающие внимания устаревшие пакеты
5.3.2. Устаревшие компоненты bullseye
5.3.3. Оборудование, которое больше не поддерживается
5.4. Известные серьезные ошибки

Иногда изменения, внесённые в новый выпуск, приводят к побочным эффектам, которых нельзя избежать без появления ошибок где-то ещё. Этот раздел описывает проблемы, которые уже известны нам. Прочитайте также список известных ошибок, соответствующую документацию на пакеты, отчёты об ошибках и другую информацию, указанную в Раздел 6.1, «Что ещё можно прочитать».

5.1. Конкретные шаги обновления для bullseye

В данном разделе описываются шаги обновления с buster до bullseye

5.1.1. Файловая система XFS больше не поддерживает параметры barrier/nobarrier

Из файловой системы XFS была удалена поддержка параметров монтирования barrier и nobarrier. Рекомендуется проверить /etc/fstab на наличие любого из ключевых слов и удалить его. Разделы, использующие эти параметры, не будут подключены.

5.1.2. Изменен формат раздела безопасности

Для bullseye раздел безопасности теперь называется bullseye-security вместо codename/updates. Нужно исправить файлы источников APT при обновлении.

Строка с разделом безопасности в настройках APT будет выглядеть так:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Если настройки APT также включает закрепление (pinning) или APT::Default-Release, это, вероятно, потребует корректировок, поскольку кодовое имя архива безопасности больше не совпадает с кодовым именем обычного архива. Пример рабочей строки APT::Default-Release для bullseye выглядит следующим образом:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

который использует поддержку регулярных выражений в APT (внутри /).

5.1.3. По умолчанию для хэширования паролей используется yescrypt

Хэш пароля по умолчанию для учетных записей локальной системы изменена с SHA-512 на yescrypt (смотрите crypt(5)). Ожидается, что это обеспечит повышенную защиту от атак с подбором пароля на основе словаря как с точки зрения пространственной, так и временной сложности атаки.

Чтобы воспользоваться преимуществами этой улучшенной системы безопасности, измените локальные пароли; например, используйте команду passwd.

Старые пароли будут продолжать работать, используя тот хэш пароля, который использовался для их создания.

Yescrypt не поддерживается Debian 10 (buster). В результате файлы паролей shadow (/etc/shadow) не могут быть скопированы из системы bullseye обратно в систему buster. Если эти файлы будут скопированы, пароли, которые были изменены в системе bullseye, не будут работать в системе buster. Аналогично, хэши паролей нельзя скопировать из bullseye в buster.

Если требуется совместимость хэшей паролей между bullseye и buster, измените /etc/pam.d/common-password. Найдите строку, которая выглядит следующим образом:

пароль [success=1 default=ignore] pam_unix.so obscure yescrypt
	

и замените yescrypt на sha512.

5.1.4. Для поддержки NSS NIS и NIS+ требуются новые пакеты

Поддержка NSS NIS и NIS+ перенесена в отдельные пакеты под названием libnss-nis и libnss-nisplus. К сожалению, glibc не может зависеть от этих пакетов, поэтому теперь они только рекомендуются.

Поэтому в системах, использующих NIS или NIS+,, рекомендуется проверить правильность установки этих пакетов после обновления.

5.1.5. Обработка фрагментов файлов настройки в unbound

Клиент DNS unbound изменил способ обработки фрагментов файла настройки. Если используете директиву include: для объединения нескольких фрагментов в допустимую настройку, то следует прочитать файл NEWS.

5.1.6. Устаревание параметра rsync

Параметр rsync --noatime был переименован в --open-noatime. Старая форма больше не поддерживается; если её используете, то посмотрите файл NEWS. Для процессов передачи данных между системами, на которых запущены разные версии Debian, может потребоваться обновление на стороне buster до версии rsync из репозитория backports. В версии rsync в первоначальном выпуске bullseye также была отменена поддержка --copy-devices в пользу --write-devices, но версия 3.2.3-4+deb11u1 (включена в выпуск bullseye 11.1) отменяет это устаревание и поддерживает оба варианта.

5.1.7. Обработка дополнений Vim

Дополнения для vim, которые ранее предоставлялись vim-scripts, с помощью встроенной функциональности «пакета» Vim, а не vim-addon-manager. Пользователям Vim следует подготовиться перед обновлением, следуя инструкциям в файле NEWS.

5.1.8. OpenStack и cgroups v1

Для OpenStack Victoria (выпущенного в bullseye) требуется cgroup версии 1 для обеспечения качества обслуживания (QoS) устройств. Поскольку bullseye также переходит на использование cgroupv2 по умолчанию (см. Раздел 2.2.4, «группы управления 2 версии»), дерево sysfs в /sys/fs/cgroup не будет включать функции cgroup v1, такие как /sys/fs/cgroup/blkio, и в результате cgcreate -g blkio:foo завершится ошибкой. Для узлов OpenStack, на которых выполняется nova-compute или cinder-volume, настоятельно рекомендуется добавить параметры systemd.unified_cgroup_hierarchy=false и systemd.legacy_systemd_cgroup_controller=false в командной строке ядра, чтобы переопределить значение по умолчанию и восстановить старую иерархию cgroup.

5.1.9. Файлы политики API OpenStack

Следуя рекомендациям авторов (upstream), OpenStack Victoria, выпущенный в bullseye, переключает API OpenStack на использование нового формата YAML. В результате большинство сервисов OpenStack, включая Nova, Glance и Keystone, похоже, не работают со всеми политиками API, явно прописанными в файлах policy.json. Таким образом, пакеты теперь поставляются с каталогом /etc/PROJECT/policy.d, содержащим файл 00_default_policy.yaml, в котором все политики по умолчанию закомментированы.

Чтобы старый файл policy.json не работал, пакеты Debian OpenStack теперь переименовывают этот файл в disabled.policy.json.old. В некоторых случаях, когда ничего лучшего нельзя было сделать к моменту выпуска, файл policy.json даже просто удаляется. Поэтому перед обновлением настоятельно рекомендуется создать резервную копию файлов policy.json ваших развертываний.

Более подробная информация доступна в авторской (upstream) документации.

5.1.10. Время простоя sendmail во время обновления

В отличие от обычных обновлений sendmail, во время обновления buster до bullseye служба sendmail будет остановлена, что приведет к бОльшему времени простоя, чем обычно. Общие рекомендации по сокращению времени простоя приведены в разделе Раздел 4.1.3, «Подготовка к перерыву в работе служб».

5.1.11. FUSE 3

Некоторые пакеты, включая gvfs-fuse, kio-fuse и sshfs, переключились на FUSE 3. Во время обновления это приведет к установке fuse3 и удалению fuse .

В некоторых исключительных случаях, например, при выполнении обновления путем выполнения только apt-get dist-upgrade вместо рекомендуемых шагов обновления из Глава 4, Обновление с Debian 10 (buster), пакеты, зависящие от fuse3 могут быть сохранен во время обновления. Повторное выполнение шагов, описанных в Раздел 4.4.5, «Обновление системы», с помощью apt из bullseye или их обновление вручную позволит устранить это.

5.1.12. Файл параметров GnuPG

Начиная с версии 2.2.27-1, настройки для каждого пользователя в наборе GnuPG были полностью изменены на ~/.gnupg/gpg.conf, а ~/.gnupg/options больше не используется. Пожалуйста, переименуйте файл, если необходимо, или переместите его содержимое в новое место.

5.1.13. Linux по умолчанию поддерживает использование пользовательских пространств имен

Начиная с версии Linux 5.10, всем пользователям по умолчанию разрешено создавать пользовательские пространства имен. Это позволит таким программам, как веб-браузеры и менеджеры контейнеров, создавать более ограниченные изолированные среды для ненадежного или менее надежного кода без необходимости запуска от имени root или использования помощника setuid-root.

В предыдущем стандарте Debian по умолчанию эта функция была ограничена процессами, запущенными от имени пользователя root, поскольку это вызывало больше проблем с безопасностью в ядре. Однако, по мере того как реализация этой функции стала более эффективной, мы теперь уверены, что риск её включения перевешивается преимуществами безопасности, которые она предоставляет.

Если предпочитаете ограничить использование этой функции, задайте sysctl:

user.max_user_namespaces = 0
      

Обратите внимание, что при наличии этого ограничения различные функции рабочего стола и контейнера не будут работать, включая веб-браузеры, WebKitGTK, Flatpak и миниатюры GNOME.

Специфичный для Debian sysctl kernel.unprivileged_userns_clone=0 имеет аналогичный эффект, но устарел.

5.1.14. Linux по умолчанию отключены непривилегированные вызовы bpf()

Начиная с версии Linux 5.10, Debian по умолчанию отключает непривилегированные вызовы bpf(). Однако можно изменить эту настройку позже, если потребуется, записав 0 или 1 в sysctl kernel.unprivileged_bpf_disabled.

Если предпочитаете, чтобы непривилегированные вызовы bpf() оставались включенными, установите sysctl:

kernel.unprivileged_bpf_disabled = 0
      

Причины изменения настроек по умолчанию в Debian смотрите ошибку 990411 для запроса на изменение.

5.1.15. redmine отсутствует в bullseye.

Пакет redmine не предоставляется в bullseye, так как было слишком поздно переходить со старой версии rails, которая находится на завершающей стадии поддержки (получает исправления только для серьезных ошибок безопасности), на версию из bullseye. Разработчики Ruby Extras внимательно следят за обновлениями и выпустят версию через backports, как только она будет выпущена и у них появятся рабочие пакеты. Если не можете дождаться, пока это произойдет, прежде чем обновлять, можно использовать виртуальную машину или контейнер под управлением buster, чтобы изолировать это конкретное приложение.

5.1.16. Exim 4.94

Пожалуйста, рассмотрите версию Exim в bullseye как серьёзное обновление Exim. Он вводит концепцию искаженных данных, считываемых из ненадежных источников, таких как, например, отправитель или получатель сообщения. Эти искаженные данные (например, $local_part или $domain) нельзя использовать, среди прочего, в качестве имени файла, каталога или команды.

Это нарушит работу настроек, которые не были обновлены соответствующим образом. Старые файлы конфигурации Debian Exim также не будут работать без изменений; необходимо установить новые настройки с объединенными локальными изменениями.

Типичные примеры неработоспособности включают:

  • Отправка по адресу /var/mail/$local_part. Используйте $local_part_data в сочетании с check_local_user.

  • С помощью

    data = ${lookup{$local_part}lsearch{/some/path/$domain/aliases}}
    

    вместо

    data = ${lookup{$local_part}lsearch{/some/path/$domain_data/aliases}}
    

    для файла псевдонима виртуального домена.

Основная стратегия работы с этим изменением заключается в использовании результата поиска при дальнейшей обработке вместо исходного (предоставленного удаленно) значения.

Чтобы упростить обновление, появилась новая опция основной конфигурации, позволяющая временно понизить уровень ошибок taint до уровня предупреждений (warning), позволяя старой конфигурации работать с более новым Exim. Чтобы использовать эту функцию, добавьте

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

в конфигурацию Exim (например, в /etc/exim4/exim4.conf.localmacros) перед обновлением и проверьте файл журнала на наличие taint предупреждений. Это временное решение, которое уже помечено для удаления при внедрении.

5.1.17. Проверка устройства SCSI является недетерминированной

Из-за изменений в ядре Linux проверка устройств SCSI больше не является детерминированной. Это может быть проблемой для установок, которые зависят от порядка проверки диска. В этом сообщение из списка рассылки предлагаются две возможные альтернативы, использующие ссылки в /dev/disk/by-path или правило udev.

5.1.18. rdiff-backup требует одновременного обновления сервера и клиента

Сетевой протокол версий 1 и 2 rdiff-backup несовместим. Это означает, что надо использовать одну и ту же версию (1 или 2) rdiff-backup локально и удаленно. Поскольку buster поставляется с версией 1.2.8, а bullseye — с версией 2.0.5, обновление только локальной системы или только удаленной системы с buster на bullseye приведет к разрыву связи rdiff-backup между ними.

Версия 2.0.5 rdiff-backup доступна в архиве buster-backports, смотрите backports. Это позволяет пользователям сначала обновить только пакет rdiff-backup в своих системах buster, а затем самостоятельно обновить системы до bullseye в удобное для них время.

5.1.19. Проблемы с микрокодом процессора Intel

Пакет intel-microcode, который в настоящее время доступен в bullseye и buster-security (см. DSA-4934-1), содержит две известные существенные ошибки. Для некоторых процессоров CoffeeLake это обновление может привести к поломке сетевых интерфейсов, использующих firmware-iwlwifi, и для некоторых процессоров Skylake R0/D0 в системах, использующих очень устаревшее встроенное ПО/BIOS, система может зависать при загрузке.

Если отложили обновление с версии DSA-4934-1 из-за любой из этих проблем или у вас не включен архив безопасности, имейте в виду, что обновление пакета intel-microcodeв bullseye может привести к зависанию вашей системы при загрузке или сломать iwlwifi. В этом случае вы можете восстановиться, отключив загрузку микрокода при загрузке; смотрите инструкции в DSA, которые также находятся в intel-microcode README.Debian.

5.1.20. Обновления, включающие libgc1c2, требуют двух запусков

Пакеты, которые зависят от libgc1c2в buster (например, guile-2.2-libs), могут быть отложены во время первого полного обновления до bullseye. Повторное обновление обычно решает проблему. Причина проблемы в ошибке #988963.

5.1.21. fail2ban не может отправить электронное письмо, используя mail из bsd-mailx

Пакет fail2ban можно настроить для отправки уведомлений по электронной почте. Для этого используется команда mail, которая предоставляется несколькими пакетами в Debian. Обновление для системы безопасности (необходимое для систем, использующих mail из mailutils), выпущенное непосредственно перед выпуском bullseye, нарушило эту функциональность для систем, в которых mail предоставляется bsd-mailx. Пользователи fail2ban в сочетании с bsd-mailx, которые хотят fail2ban отправлять электронную почту, должны либо переключиться на что-то другое предоставляющее mail, либо вручную откатить исходный коммит (который вставил строку "-E 'set escape'" в нескольких местах в /etc/fail2ban/action.d/).

5.1.22. Во время обновления новые подключения по SSH невозможны

Хотя существующие соединения Secure Shell (SSH) должны продолжать работать после обновления в обычном режиме, из-за неблагоприятных обстоятельств период, в течение которого новые SSH-соединения не могут быть установлены, оказывается более длительным, чем обычно. Если обновление выполняется по SSH-соединению, которое может быть прервано, рекомендуется обновить openssh-server перед полным обновлением системы.

5.1.23. Обновление Open vSwitch требует изменения interfaces(5).

Обновление openvswitch может не привести к восстановлению мостов после загрузки. Обходной путь заключается в следующем:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

Подробнее см. ошибка #989720.

5.1.24. То, что следует сделать после обновления и до перезагрузки

Когда будет завершено выполение команды apt full-upgrade, «формальная» процедура обновления будет завершена. Для обновления до bullseye не требуется выполнять каких-либо специальных действий до выполнения перезагрузки.

5.2. Элементы, не ограничивающиеся процессом обновления

5.2.1. Ограничения поддержки безопасности

Для некоторых пакетов Debian не может гарантировать какой-либо минимальной поддержки исправлений безопасности. О таких пакетах написано в следующих разделах.

[Примечание]Примечание

Пакет debian-security-support помогает отслеживать статус поддержки безопасности установленных пакетов.

5.2.1.1. Состояние безопасности веб-браузеров и их движков отрисовки (rendering engines)

В Debian 11 включено несколько браузерных движков (browser engines), в которых постоянно находят большое количество уязвимостей безопасности. Высокий уровень угроз и частичное отсутствие авторской поддержки в виде долгосрочных веток очень затрудняют поддержку этих браузеров и движков с помощью переноса исправлений безопасности в старые версии. Также из-за взаимозависимости библиотек невозможно произвести обновление до новых версий. Таким образом, браузеры, созданные, например, на движках webkit и khtml[6], включены в bullseye, но на них не распространяется поддержка безопасности. Эти браузеры не следует использовать на ненадежных веб-сайтах. На движки webkit2gtk и wpewebkit поддержка безопасности распространяется.

Для типичного использования веб-браузера рекомендуем Firefox или Chromium. Они будут поддерживаться в актуальном состоянии путем сборки текущих выпусков ESR для стабильного (stable) выпуска. (прим. пер.: настоятельно рекомендую Firefox, он обновляется значительно лучше Chromium) Та же стратегия будет применена и к Thunderbird.

5.2.1.2. OpenJDK 17

Debian bullseye поставляется с версией раннего доступа OpenJDK 17 (следующей ожидаемой версией OpenJDK LTS после OpenJDK 11), чтобы избежать довольно утомительного процесса начальной загрузки. Планируется, что OpenJDK 17 получит обновление в bullseye до финальной версии, анонсированной на октябрь 2021 года, за которым последуют обновления безопасности по мере необходимости, но пользователям не следует ожидать появления обновлений для каждого ежеквартального обновления безопасности.

5.2.1.3. Пакеты на основе Go

Инфраструктура Debian в настоящее время имеет проблемы со сборкой пакетов типов, которые систематически используют статическое связывание. До buster это не было реальной проблемой, но с ростом экосистемы Go это означает, что на пакеты на основе Go будет распространяться ограниченная поддержка безопасности до тех пор, пока инфраструктура не будет улучшена для обеспечения их обслуживания.

Если для библиотек разработки Go требуются обновления, они могут поступать только в регулярных крупных выпусках, которые могут выходить редко.

5.2.2. Доступ к приложению Настройки GNOME без использования мыши

Без указательного устройства нет прямого способа изменить настройки в приложении "Настройки GNOME", предоставляемом gnome-control-center. В качестве обходного пути можно перейти от боковой панели к основному содержимому, дважды нажав на стрелку вправо. Чтобы вернуться к боковой панели, вы можете начать поиск с помощью Ctrl+F, ввести что-либо, затем нажать Esc, чтобы отменить поиск. Теперь можно использовать стрелку вверх и стрелку вниз для навигации по боковой панели. Невозможно выбрать результаты поиска с помощью клавиатуры.

5.2.3. Парметр загрузки rescue недоступен без пароля root

В связи с реализацией sulogin, используемой начиная с buster, для загрузки с параметром rescue всегда требуется пароль root. Если он не установлен, это делает режим восстановления практически недоступным. Однако загрузка по-прежнему возможна с использованием параметра ядра init=/sbin/sulogin --force

Чтобы настроить systemd на выполнение аналогичных действий всякий раз, когда он загружается в аварийный режим (также известный как одиночный режим: смотрите systemd(1)), запустите sudo systemctl edit rescue.service и создайте следующий файл:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Возможно, также (или вместо этого) было бы полезно сделать это для модуля emergency.service, который запускается автоматически в случае определенных ошибок (см. systemd.special(7)), или если в командную строку ядра добавлен emergency (например, если система не может быть восстановлена с помощью режима восстановления).

Причины и обсуждение последствий для безопасности смотрите в #802211.

5.2.4. 32-битные гостевые версии Xen PV не поддерживаются

Ядро Linux (начиная с версии 5.9) больше не поддерживает 32-битные виртуальные машины xen, использующие режим PV. Такие виртуальные машины необходимо преобразовать в архитектуру 64-битного ПК.

Проверить, в каком режиме запущен гостевой сервер Xen (внутри виртуальной машины) можно так:

$ cat /sys/hypervisor/guest_type
PV
        

На виртуальные машины, которые возвращают, например, PVH или HVM, это не влияет.

5.3. Устаревание и нецелесообразность

5.3.1. Заслуживающие внимания устаревшие пакеты

Ниже приводится список заслуживающих внимания устаревших пакетов (описание см. в Раздел 4.8, «Устаревшие пакеты»).

В список устаревших пакетов входят следующие пакеты:

  • Пакет lilo был удален из bullseye. Преемником lilo в качестве загрузчика является grub2.

  • Пакет управления списками рассылки Mailman версии 3 является единственной доступной версией Mailman в этом выпуске. Mailman был разделен на различные компоненты; ядро доступно в пакете mailman3, а полный набор можно получить с помощью метапакета mailman3-full.

    Устаревшая версия Mailman 2.1 больше недоступна (раньше это был пакет mailman). Эта ветка зависит от Python 2, который больше не доступен в Debian.

    Инструкции по обновлению, пожалуйста, смотрите в разделе документация по переносу проекта.

  • Ядро Linux больше не поддерживает isdn4linux (i4l). Следовательно, соответствующие пользовательские пакеты isdnutils, isdnactivecards, drdsl и ibod были удалены из репозитория.

  • Устаревшие библиотеки libappindicator больше не предоставляются. В результате связанные пакеты libappindicator1, libappindicator3-1 и libappindicator-dev больше недоступны. Ожидается, что это приведет к ошибкам зависимостей для стороннего программного обеспечения, которое все еще зависит от libappindicator для обеспечения поддержки системного трея и индикаторов.

    Debian использует libayatana-appindicator в качестве преемника libappindicator. Техническую информацию смотрите в этом объявлении.

  • Debian больше не предоставляет chef. Если вы используете Chef для управления конфигурацией, лучшим способом обновления, вероятно, будет переход на использование пакетов, предоставляемых компанией Chef Inc..

    Подробную информацию об удалении смотрите в запросе на удаление.

  • Срок службы Python 2 уже истек, и никаких обновлений для системы безопасности он получать не будет. Он не поддерживается для запуска приложений, а пакеты, использующие его, либо переведены на Python 3, либо удалены. Однако Debian bullseye по-прежнему включает версию Python 2.7, а также небольшое количество инструментов для сборки Python 2, таких как python-setuptools. Они присутствуют только потому, что требуются для нескольких процессов сборки приложений, которые еще не были переведены на Python 3.

  • Пакет aufs-dkms не является частью bullseye. Большинство пользователей aufs-dkms должны иметь возможность переключиться на overlayfs, который обеспечивает аналогичную функциональность при поддержке ядра. Однако возможна установка Debian в файловую систему, которая несовместима с overlayfs, например, xfs без d_type. Пользователям aufs-dkms рекомендуется перейти с aufs-dkms перед обновлением до bullseye.

  • Диспетчер сетевых подключений wicd больше не будет доступен после обновления, поэтому, чтобы избежать опасности потери подключения, пользователям рекомендуется перед обновлением переключиться на альтернативный вариант, такой как network-manager или connman.

5.3.2. Устаревшие компоненты bullseye

В следующем выпуске Debian 12 (кодовое имя bookworm) некоторые возможности устарели. Пользователям требуется перейти на использование других альтернатив, чтобы избежать проблем с обновлением до Debian 12.

Изменения коснулись следующих возможностей:

  • Исторические обоснования компоновки (layout) файловой системы с каталогами /bin, /sbin и /lib отдельно от их эквивалентов в /usr сегодня больше не применяются; см. Freedesktop.org краткое содержание. Debian bullseye станет последней версией Debian, поддерживающей не-объединённую компановку usr; для систем с устаревшей компоновкой, которые были обновлены без переустановки, существует пакет usrmerge, позволяющий при желании выполнить преобразование.

  • bullseye — это последний релиз Debian, в который добавлен apt-key. Управление ключами должно осуществляться путем добавления файлов в /etc/apt/trusted.gpg.d в двоичном формате согласно gpg --export с расширением .gpg, или в формате ASCII с расширением .asc.

    Планируется замена apt-key list для ручного исследования связки ключей, но работа еще не началась.

  • Серверные части базы данных slapd slapd-bdb(5), slapd-hdb(5) и slapd-shell(5) удаляются и не будут включены в Debian 12. Базы данных LDAP, использующие серверные части bdb или hdb, должны быть перенесены на серверную часть slapd-mdb(5).

    Кроме того, серверные части slapd-perl(5) и slapd-sql(5) устарели и могут быть удалены в будущих выпусках.

    Проект OpenLDAP не поддерживает устаревшие серверные системы. Поддержка этих серверных систем в Debian 11 осуществляется по мере возможности.

5.3.3. Оборудование, которое больше не поддерживается

Для ряда устройств на базе armel, которые поддерживались в buster, Debian больше не может создавать требуемое ядро Linux из-за аппаратных ограничений. Неподдерживаемыми устройствами являются:

  • QNAP Turbo Station (TS-xxx)

  • HP Media Vault mv2120

Пользователям этих платформ, которые, тем не менее, хотят перейти на bullseye, следует включить источники buster в APT. Перед обновлением следует добавить файл настроек APT, содержащий:

Package: linux-image-marvell
Pin: release n=buster
Pin-Priority: 900
	

Поддержка безопасности для этой конфигурации будет действовать только до окончания срока службы buster.

5.4. Известные серьезные ошибки

Хотя Debian выпускается, когда он готов, это, к сожалению, не означает, что известных ошибок нет. В рамках процесса выпуска все ошибки степени серьезности serious или выше активно отслеживаются командой разработчиков, поэтому обзор этих ошибок, которые были помечены как игнорируемые в последней части выпуска bullseye, можно найти в Системе отслеживания ошибок Debian. Следующие ошибки влияли на bullseye на момент выпуска и заслуживают упоминания в этом документе:

Номер ошибкиПакет (исходного кода или двоичный)Описание
922981ca-certificates-javaca-certificates-java: /etc/ca-certificates/update.d/jks-keystore не обновляет /etc/ssl/certs/java/cacerts
990026croncron: Сокращенная кодировка в MAILTO приводит к сбою
991081gir1.2-diodon-1.0gir1.2-diodon-1.0 отсутствуют зависимости
990318python-pkg-resourcespython-pkg-resources: пожалуйста, добавьте ограничения для неверсионных пакетов python
991449fail2banисправить CVE-2021-32749 нарушение работы систем с mail из bsd-mailx
990708mariadb-server-10.5,galera-4mariadb-server-10.5: проблемы с обновлением из-за переключения galera-3 -> galera-4
980429src:gcc-10g++-10: ложная ошибка сегментации в режиме c++17 в append_to_statement_list_1 (tree-iterator.c:65)
980609src:gcc-10отсутствует i386-cpuinfo.h
984574gcc-10-basegcc-10-base: пожалуйста, добавьте Breaks: gcc-8-base (<< 8.4)
984931git-elgit-el,elpa-magit: не удается установить: /usr/lib/emacsen-common/packages/install/git emacs падает в /usr/lib/emacsen-common/lib.pl строка 19, <TSORT> строка 7.
987264git-elgit-el: не удается установить с помощью xemacs21
991082gir1.2-gtd-1.0в gir1.2-gtd-1.0 есть пустые зависимости
948739gpartedgparted не должен маскировать модули .mount
984714gpartedgparted должен предложить exfatprogs и вернуть фиксацию, которая отклоняет exfat-utils
968368ifenslaveifenslave: Настройка bond-master не позволяет добавить интерфейс в bond
990428ifenslaveifenslave: соединение не работает в bullseye (с использованием настроки bond-slaves)
991113libpam-chrootlibpam-chroot устанавливает pam_chroot.so в неправильный каталог
989545src:llvm-toolchain-11libgl1-mesa-dri: si_texture.c:1727 si_texture_transfer_map - не удалось создать временную текстуру для сохранения до копирования
982459mdadmmdadm --examine в chroot без подключения /proc,/dev,/sys приводит к повреждению файловой системы хоста
981054openipmiopenipmi: Отсутствует зависимость от kmod
948318openssh-serveropenssh-server: Не удается перезапустить sshd после обновления до версии 8.1p1-2
991151procpsprocps: убрана настройка перезагрузки из сценария инициализации, что нарушило работу corekeeper
989103pulseaudiopulseaudio регрессировал в настройке control=Wave
984580libpython3.9-devlibpython3.9-dev: отсутствует зависимость от zlib1g-dev
990417src:qemuopenjdk-11-jre-headless: запуск java в qemu s390 выдает SIGILL C [linux-vdso64.so.1+0x6f8] __kernel_getcpu+0x8
859926speech-dispatcherпрерывается с pulse-audio в качестве выхода при запуске speechd-up из системы инициализации
932501src:squid-deb-proxysquid-deb-proxy: демон не запускается из-за того, что файл conf не разрешен apparmor
991588tpm2-abrmdtpm2-abrm не должен использовать Requires=systemd-udev-settle.service в своем unit
991939libjs-bootstrap4libjs-bootstrap 4: неработающие символические ссылки: /usr/share/javascript/bootstrap4/css/bootstrap*.css.map -> ../../../nodejs/bootstrap/dist/css/bootstrap*.css.map
991822src:winesrc:wine: dh_auto_clean удаляет несвязанные файлы за пределами исходного кода пакета
988477src:xenxen-hypervisor-4.14-amd64: xen dmesg показывает (XEN) AMD-Vi: IO_PAGE_FAULT на устройстве sata pci
991788xfce4-settingsxfce4-settings: черный экран после приостановки работы при закрытии и повторном открытии крышки ноутбука


[6] Эти движки поставляются в нескольких различных исходных пакетах, и это касается всех пакетов, которые их поставляют. Проблема также распространяется на механизмы веб-отрисовки, явно не упомянутые здесь, за исключением webkit2gtk и нового wpewebkit.