Kapitel 5. Problemområden att känna till för bullseye

Stödet för monteringinställningarna barrier och nobarrier har tagits bort för XFS. Om dessa används i /etc/fstab ska de tas bort. Partitioner med dessa inställningar kommer inte att kunna monteras.

I och med bullseye har säkerhetssviten bytt namn till bullseye-security istället för codename/updates och användare måste justera sina APT sources-list-filer vid uppgraderingen.

Säkerhetsraden i inställningarna för dina APT-förråd bör nu se ut som följande:

deb https://deb.debian.org/debian-security bullseye-security main contrib

Om dina inställningar för API också innehåller fastnålning med ”pin” eller APT::Default-Release kommer det troligen krävas justeringar eftersom kodnamnet för säkerhetsakrivet inte längre stämmer överrens med huvudarkivet. Ett fungerande exempel på APT::Default-Release för bullseye ser ut på följande sätt:

APT::Default-Release "/^bullseye(|-security|-updates)$/";

which takes advantage of APT's support for regular expressions (inside /).

Standardmetoden för att hasha lösenord för lokala systemanvändare har ändrats från SHA-512 till yescrypt (läs mer på crypt(5)). Målet är att detta ska leda till högra säkerhet vid attacker som baseras på lexikon, både vad gäller utnyttjat utrymme och tidsåtgång.

För att dra nytta denna säkerhetsjustering så behöver lösenord uppdateras, exempelvis genom kommandot passwd.

Äldre lösenord kommer att fortsätta fungera med den hashfunktion som användes för att skapa dem.

Då yescryot inte har stöd i Debian 10 (buster) så kan inte en shadow-fil (/etc/shadow) kopieras från ett bullseye- till ett buster-system. Om en sådan kopiering utförs kommer inte lösenord som skapats på bullseye-systemet att fungera i buster-systemet. Av samma anledning så kan inte lösenord klipp å klistras från bullseye till buster.

Om kompatabilitet för lösenordshashning krävs mellan bullseye och buster så behöver filen /etc/pam.d/common-password redigeras. Leta upp raden:

password [success=1 default=ignore] pam_unix.so obscure yescrypt
	

och ersätt yescrypt med sha512.

Stöd för NSS NIS och NIS+ har flyttats till de separata paketen libnss-nis och libnss-nisplus. Tyvärr kan inte glibc vara beroende av dessa så de är nu enbart rekomenderade.

För system som använder NIS eller NIS+ bör en särskild kontroll göras efter uppgraderingen så att dessa paket är installerade.

DNS resolvern unbound har ändrat sättet som den hanterar fragmenterade inställningsfiler. Om du förlitar dig på ett include:-direktiv för att slå samman flera fragment till en fungerande uppsättning så ska du läsa NEWS-filen.

The rsync parameter --noatime has been renamed --open-noatime. The old form is no longer supported; if you are using it you should see the NEWS file. Transfer processes between systems running different Debian releases may require the buster side to be upgraded to a version of rsync from the backports repository. The version of rsync in the initial release of bullseye also deprecated --copy-devices in favor of --write-devices, but version 3.2.3-4+deb11u1 (included in bullseye point release 11.1) reverts this deprecation and supports both options.

De utökningar av vim som tidigare hanterats genom vim-scripts tas nu om hand av Vims inbyggda funktion ”package” istället för via vim-addon-manager. Vim-användare ska förbereda sin uppgradering genom att följa instruktionerna i NEWS-filen.

OpenStack Victoria (den utgåva som kommer med bullseye) kräver cgroups v1 för QoS (Quality of Service) på blockenheter. Eftersom bullseye också ändrar till att använda cgroups v2 som standard (läs mer på Avsnitt 2.2.4, ”Control groups v2”) så kommer inte sysfs-trädet på /sys/fs/cgroup att ta med cgroups v1-funktioner som t.ex. /sys/fs/cgroup/blkio och genom detta så kommer cgcreate -g blkio:foo inte fungera. För OpenStack-noder som kör nova-compute ellerr cinder-volume rekommenderas att lägga till parametrarna systemd.unified_cgroup_hierarchy=false och systemd.legacy_systemd_cgroup_controller=false till kärnans uppstartsrad för att ersätta standardinställningen och ha kvar den äldere cgroups-hierarkin.

I enligthet med rekommendationen från OpenStacks utvecklare kommer OpenStack Victoria (den utgåva som kommer med bullseye) byta till att använda YAML-formatet för OpenStacks API. I och med detta kommer de flesta OpenStack-tjänsterna (Nova, Glance och Keystone) att framstå som trasiga då deras policy-filer uttryckligen är skrivna i policy.json-filer. På grund av detta installeras paketen nu med en katalog kallad /etc/PROJEKT/policy.d som innehåller en fil kallad 00_default_policy.yaml där alla policyer finns med men är utkommenterade och därmed inte aktiva.

För att undvika att de gamla policy.json-filerna fortätter att vara aktiva kommer Debians OpenStack-paket byta namn på denna fil till disabled.policy.json.old. Det fanns inte riktigt tid att lösa detta i alla lägen så i några fall raderas filen istället. Det är därför av yttersta vikt att säkerhetskopior av policy.json-filerna görs.

Ytterligare information finns i OpenStacks dokumentation.

Till skillnad från vanliga uppgraderingar av sendmail kommer tjänsten att stoppas under uppgraderingen från buster till bullseye. Detta leder till längre nedtid än vanligt. Läs mer i Avsnitt 4.1.3, ”Förbered för att tjänster blir oåtkomliga” om generella råd för att minska nedtiden.

Några paket har bytt till FUSE 3, exempelvis gvfs-fuse, kio-fuse och sshfs. Detta leder till att fuse3 installeras och fuse avinstalleras under uppgraderingen.

Under vissa omständigheter, exempelvis när uppgraderingen görs genom att köra apt-get dist-upgrade istället för att följa rekommenderade steg i Kapitel 4, Uppgraderingar från Debian 10 (buster), kan paket som kräver fuse3 hållas tillbaka under uppgraderingen. Om detta händer räcker det att köra stegen från Avsnitt 4.4.5, ”Uppgradering av systemet” en gång till med apt från bullseye eller uppgradera paketn manuellt för att lösa problemet.

I och med version 2.2.27-1 av GnuPG har inställningar för enskilda användare helt och hållet flyuttat till ~/.gnupg/gpg.conf och ~/.gnupg/options används inte mera. Byt namn på filen eller kopiera innehållet till den nya platsen.

Från Linux 5.10 kommer alla användare att kunna skapa användar-namespace som standard. Detta tillåter program som webbläsare och kontainerhanterare att skapa mer begränsade sandlådor för hantering av mindre eller obetrodd kod. Utan att behöva köra dessa som root eller använda ett hjälpmedel via setuid-root.

I tidigare version av Debian var detta begränsat till processer som körde som root eftersom funktionen ansågs exponera onödiga säkerhetsrisker i kärnan. Med tiden har implementationen mognat och vi känner oss nu övertygade om att risken med att ha det igång vida överskrids av nyttan som säkerhetsfördelarna.

Vill du hellre stanna kvar i en begränsad miljö ska fäljande systctl sättas:

user.max_user_namespaces = 0
      

Observera att diverse skrivbords- och kontainer-funktioner kommer inte att fungera med denna begränsning på plats. Exemplevis webbläsare, WebKitGTK, Flatpak och GNOMEs tumnaglar.

Den Debian-specifika sysctl-inställningen kernel.unprivileged_userns_clone=0 har liknande funktion men fasas ut och ska ej användas på sikt.

I och med Linux 5.10 kommer opriviligierade anrop till bpf() att förhindras som standard. En administratör kan ändra denna inställning framöver genom att ange 0 eller 1 i kernel.unprivileged_bpf_disabled sysctl.

Om du hellre vill tillåta opriviligerade anrop till bpf() ska sysctl sättas till:

kernel.unprivileged_bpf_disabled = 0
      

Läs felrapport 990411 för bakgrundsinformation om den ändrade standardinställningen i Debian.

Paketet redmine finns inte i bullseye eftersom det var för sent att genomföra migreringen från den gamla versionen av rails (som inte längre har stöd från sina utveckalre utöver att åtgärda mycket allvarliga säkerhetsfel) till den version som finns i bullseye. De ansvariga för Ruby Extras följer noga med i utvecklingen och kommer att göra en ny version tillgänglig via backports så fort det är möjligt. Om det inte går att vänta på detta före uppgraderingen så går det att använda en virtuell maskin eller kontainer för att isolera applikationen.

Uppgraderingen av Exim i bullseye bör ses som stor. I den nya versionen introduceras konceptet med förorenande läsning av data från opålitligt källa. Exempelvis meddelandets avsändare eller mottagare. Denna förorenade data ($local_part eller $domain) kan inte användas som exempelvis fil- eller katalognamn eller kommandonamn.

Detta kommer att trasa sönder installationer som inte uppdateras på rätt sätt. Äldre inställningsfiler för Debian Exim kommer inte heller att fungera utan justering. De nya inställningarna måste installeras med lokala ändringar sammanfogade.

Vanliga icke-fungerande exempel

Den grundläggande strategin för att hantera denna ändring är att använda resultatet av en sökning i kommande processning istället för originalets värde.

För att förenkla uppgraderingen så finns en ny inställning som kan användas för att temporärt nedgradera felmeddelanden till varningsmeddelanden och på så vis tillåta att de gamla inställningarna används med nyare Exim. För att använda denna väg lägg till

.ifdef _OPT_MAIN_ALLOW_INSECURE_TAINTED_DATA
 allow_insecure_tainted_data = yes
.endif

till Exims inställningar (exempelvis i /etc/exim4/exim4.conf.localmacros) före uppgradering och kontrolera loggfilen för varningar om förorenad läsning. Detta är en temporär väg runt som redan är markerad för radering.

På grund av ändringar i Linuxkärnan är inte längre upptäckten av SCSI-enheter deterministisk. Detta kan leda till besvär för installationer som förlitar sig på ordningen diskar i systemet upptäcks. Två möjliga alternativ; att använda länkar via /dev/disk/by-path eller en udev-regel. Dessa föreslås och beskrivs i deetta meddelande till sändlistan(engelska).

Nätverksprotokollet för rdiff-backup skiftar på ett icke-kompatiblet sätt mellan version 1 och version 2. I och med detta måste samma version (antingen 1 eller 2) köras i båda ändar av processen. I buster installeras version 1.2.8 och i bullseye gäller version 2.0.6 varvid uppgradering av enbart ena halvan av ett par kommer att leda till att funktionaliteten kapas.

Version 2.0.6 av rdiff-backupfinns i buster-backports-arkivet. På detta sätt så kan användare först uppgradera enbart paketet rdiff-backup på buster-systemet och sedan kan själva systemet uppgraderas till bullseye fristående.

intel-microcode-paketet som vid skrivandes stund finns i bullseye och buster-security (läs även DSA-4934-1(engelska)) har två större kända fel. För vissa CoffeeLake-CPUer kan denna uppgradering trasa sönder nätverksgränssnit som använder firmware-iwlwifi och för vissa Skylake RO/DO CPUer på system med väldigt gammal fast programvara/BIOS kan systemet hänga upp sig vid uppstart.

Om du har undvikit att installera paketet på grund av besvären som beskrivs i DSA-4934-1 eller inte har säkerhetsarkivet aktiverat så är det viktigt att känna till att uppgradering av intel-microcode i bullseye kan få ditt system att hänga upp sig vid uppstart eller att iwlwifi inte fungerar. I sådant fall kan du avaktivera inläsning av mikrokoden vid uppstart. Läs mer i introduktionen av DSAn, kan även hittas i intel-microcode README.Debian.

Paket som är beroende av libgc1c2 i buster (t.ex. guile-2.2-libs) kan hållas tillbaka under den första kompletta uppgraderingen till bullseye. I sådant fall bör det lösas genom att köra uppgraderingen en gång till. Läs mer om problemet i bugfelrapport #988963.

Paketet fail2ban kan ställas in så att det skickas notiser med e-post. Detta görs genom mail. Det kommandot kan i sin tur installeras från ett antal olika paket i Debian. En säkerhetslagning (för system som kör mail från mailutils) sent i förberedandet inför bullseye tog sönder denna funktionalitet på system som kör mail från bsd-mailx. Den som använder fail2ban i kombination med bsd-mailx och vill att fail2ban fortsätter skicka ut notiser per e-post bör antingen byta till annan lösning för mail eller manuellt ta bort ändringen som beskrivs i ändringen hos utgivaren(engelska). I korta drag går ändringen ut på att "-E 'set escape'" på ett antal platser i filer i /etc/fail2ban/action.d/.

Pågående SSH-anslutningar ska fortsätta fungera genom uppgraderingen som vanligt. På grund av oturliga omständigheter är perioden när nya anslutningar inte kan upprättas längre än vanligt.Om uppgraderingen utförs på en SSH-anslutning som kan avbrytas rekommenderas du att första uppgradera openssh-server före själva systemet.

The openvswitch upgrade may fail to recover bridges after boot. The workaround is:

        sed -i s/^allow-ovs/auto/ /etc/network/interfaces
     

For more info, see bug #989720.

När apt full-upgrade är klar innebär detta att den ”formella” uppgraderingen är klar . För uppgraderingen till bullseye finns inga speciella åtgärder som måste genomföras före nästa omstart.

Det finns ett antal paket där Debian inte kan lova minimala bakåtporteringar för säkerhetsproblem. Dessa beskrivs närmare i underavsnitten.

	Notera
	Paketet debian-security-support håller reda på säkerhetsstatus för installerade paket.

Utan ett pekdon är det inte möjligt att manipulera inställningar i Gnomes inställningsapplikation som tillhandahålls av gnome-control-center. Som en väg runt detta kan du navigera från sidomenyn till det huvudsakliga innehållet genom att trycka pil höger två gånger. För att komma tillbaka till sidomenyn är snabbaste lösningen att öppna en sökning med Ctrl+F och skriva något för att sedan avbryta sökningen med Esc. Nu kan pil uppåt och pil nedåt användas för att hoppa i sidomenyn. Det är inte möjligt att välja ett sökresultat med tangentbordet.

I implementationen av sulogin som används sedan buster krävs alltid lösenordet för root-användaren - även om uppstartsalternativet rescue används. Skulle lösenordet vara borta så går det att komma runt genom att starta systemet med parametern init=/sbin/sulogin --force.

För att ställa in så att systemd gör motsvarande när systemet startar i räddningsläget (kallas även enanvändarläge eller single mode. Läs mer i systemd(1)) kär sudo systemctl edit resucue.service och skapa en fil som innehållet:

[Service]
Environment=SYSTEMD_SULOGIN_FORCE=1
      

Det kan också (eller istället) vara användbart att göra detta för systemd-enheten emergency.service eftersom den startar automatiskt när vissa fel uppstår (se även systemd.special(7)) eller om emergency läggs till på kärnans kommandorad inför uppstart (alltså att systemet inte kunde återställas genom räddningsläget).

För bakgrundsinformation och diskussion om säkerhetsproblemet hänvisas till felrapport #802211.

The Linux kernel (from version 5.9) no longer supports 32-bit xen virtual machines using PV mode. Such virtual machines need to be converted to the 64-bit PC architecture.

You can check which mode a Xen guest is running (inside the virtual machine):

$ cat /sys/hypervisor/guest_type
PV
        

Virtual machines that return, for example, PVH or HVM are not affected.

Detta är en lista med kända föråldrade paket (läs mer i Avsnitt 4.8, ”Föråldrade paket” för en beskrivning).

Listan med föråldrade paket inkluderar:

Med nästa utgåva av Debian 12 (kodnamn bookworm) kommer några funktioner fasas ut. Användare behöver byta till alternativ för att förhindra besvär vid uppgradering till 12.

Inklusive följande: