Релиз Debian 10 "Buster"
После двух лет разработки состоялся релиз Debian GNU/Linux 10.0 (Buster), доступный для десяти официально поддерживаемых архитектур: Intel IA-32/x86 (i686), AMD64 / x86–64, ARM EABI (armel), 64-bit ARM (arm64), ARMv7 (armhf), MIPS (mips, mipsel, mips64el), PowerPC 64 (ppc64el) и IBM System z (s390x). Обновления для Debian 10 будут выпускаться в течение 5 лет.
В репозитории представлено 57703 бинарных пакетов, что примерно на 6 тысяч больше, чем было предложено в Debian 9. По сравнению с Debian 9 добавлено 13370 новых бинарных пакетов, удалено 7278 (13%) устаревших или заброшенных пакетов, обновлено 35532 (62%) пакетов. Для 91.5% пакетов обеспечена поддержка повторяемых сборок, позволяющих подтвердить, что исполняемый файл собран именно из заявленных исходных текстов и не содержит посторонних изменений, подстановка которых, например, может быть совершена путём атаки на сборочную инфраструктуру или закладки в компиляторе.
Для загрузки доступны DVD-образы, загрузить которые можно по HTTP, jigdo или BitTorrent. Также сформирован неофициальный установочный образ nonfree, включающий в себя проприетарные прошивки. Для архитектур amd64 и i386 разработаны LiveUSB, доступные в вариантах с GNOME, KDE и Xfce, а также многоархитектурный DVD, сочетающий пакеты для платформы amd64 с дополнительными пакетами для архитектуры i386. Добавлена поддержка загружаемых по сети (netboot) образов для SD-карт и образа, умещающегося на 16 Гб USB Flash;
Ключевые изменения в Debian 10.0:
- Реализована поддержка UEFI Secure Boot, для обеспечения работы которой задействован загрузчик Shim, заверенный цифровой подписью от компании Microsoft (shim-signed), в сочетании с заверением ядра и загрузчика grub (grub-efi-amd64-signed) собственным сертификатом проекта (shim выступает как прослойка для использования дистрибутивом собственных ключей). Пакеты shim-signed и grub-efi-ARCH-signed включены в число сборочных зависимостей для amd64, i386 и arm64. Загрузчик и grub, заверенные рабочим сертификатом, включены в состав EFI-образов для amd64, i386 и arm64. Напомним, что изначально поддержка Secure Boot ожидалась в Debian 9, но её не успели стабилизировать до релиза и отложили до следующего значительного выпуска дистрибутива;
- Включена по умолчанию поддержка системы мандатного контроля доступа AppArmor, которая позволяет контролировать полномочия процессов, определяя списки файлов с соответствующими правами (на чтение, запись, отображение в память и запуск, установку блокировки на файл и т.п.) для каждого приложения, а также контролировать доступ к сети (например, запретить использование ICMP) и управлять POSIX capabilities. Основное отличие AppArmor от SELinux состоит в том, что SELinux оперирует ассоциированными с объектом метками, а AppArmor определяет полномочия на основании файлового пути, что заметно упрощает процесс настройки. В основном пакете с AppArmor поставляются профили защиты лишь для некоторых приложений, а для остальных следует использовать пакет apparmor-profiles-extra или профили из пакетов конкретных приложений;
- На смену iptables, ip6tables, arptables и ebtables пришёл пакетный фильтр nftables, который теперь применяется по умолчанию и примечателен унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters);
По умолчанию устанавливается пакет iptables-nft, который предлагает набор утилит для обеспечения совместимости с iptables, имеющих такой же синтаксис командной строки, но транслирующих полученные правила в байткод nf_tables, выполняемый в виртуальной машине. Опционально доступен для установки пакет iptables-legacy, включающий старую реализацию на основе x_tables. Исполняемые файлы iptables теперь устанавливаются в /usr/sbin, а не в /sbin (для совместимости создаются символические ссылки);
- Для APT реализован режим sandbox-изоляции, включаемый через опцию APT: Sandbox: Seccomp и обеспечивающий фильтрацию системных вызовов при помощи seccomp-BPF. Для более тонкой настройки белого и чёрного списков системных вызовов можно использовать списки APT: Sandbox: Seccomp: Trap и APT: Sandbox: Seccomp: Allow;
- Ядро Linux обновлено до версии 4.19;
- Рабочий стол GNOME по умолчанию переведён на использование Wayland, а сеанс на базе X-сервера предложен в виде опции (X-сервер по-прежнему входит в число пакетов, входящих в базовую поставку). Обновлён графический стек и пользовательские окружения: GNOME 3.30, KDE Plasma 5.14, Cinnamon 3.8, LXDE 0.99.2, LXQt 0.14, MATE 1.20, и Xfce 4.12. Офисные пакет LibreOffice обновлён до выпуска 6.1, а Calligra до выпуска 3.1. Обновлены Evolution 3.30, GIMP 2.10.8, Inkscape 0.92.4, Vim 8.1;
- В состав дистрибутива включён компилятор для языка Rust (поставляется Rustc 1.34). Обновлены GCC 8.3, LLVM/Clang 7.0.1, OpenJDK 11, Perl 5.28, PHP 7.3, Python 3.7.2;
- Обновлены серверные приложения, в том числе Apache httpd 2.4.38, BIND 9.11, Dovecot 2.3.4, Exim 4.92, Postfix 3.3.2, MariaDB 10.3, nginx 1.14, PostgreSQL 11, Samba 4.9 (в ядре обеспечена поддержка SMBv3);
- В cryptsetup осуществлён переход на формат шифрования дисков LUKS2 (ранее применялся LUKS1). LUKS2 отличается упрощённой системой управления ключами, возможностью использования секторов большого размера (4096 вместо 512, снижает нагрузку при расшифровке), символьными идентификаторами разделов (label) и средствами резервирования метаданных с возможностью их автоматического восстановления из копии в случае выявления повреждения. В процессе обновления существующие разделы LUKS1 автоматически будут преобразованы в формат, совместимый с LUKS2, но из-за ограничений размера заголовка не все новые возможности для них будут доступны;
- В инсталлятор добавлена возможность использования одновременно нескольких консолей в процессе установки. Удалена поддержка ReiserFS. Для Btrfs добавлена поддержка сжатия ZSTD (libzstd). Добавлена поддержка устройств NVMe;
- В debootstrap по умолчанию задействована опция »--merged-usr», при которой все исполняемые файлы и библиотеки из корневых директорий переносятся в раздел /usr (каталоги /bin, /sbin и /lib* оформлены как символические ссылки на соответствующие каталоги внутри /usr). Изменение применяется только для новых установок, в процессе обновления оставляется старая раскладка каталогов;
- В пакете unattended-upgrades, кроме автоматической установки обновлений, связанных с устранением уязвимостей, теперь также по умолчанию включено обновление до промежуточных выпусков (Debian 10.1, 10.2 и т.п.);
- Компоненты системы печати обновлены до CUPS 2.2.10 и cups-filters 1.21.6 с полноценной поддержкой AirPrint, DNS-SD (Bonjour) и IPP Everywhere для вывода на печать без предварительной установки драйверов;
- Добавлена поддержка плат на базе процессоров Allwinner A64, таких как FriendlyARM NanoPi A64, Olimex A64-OLinuXino, TERES-A64, PINE64 PINE A64/A64/A64-LTS, SOPINE, Pinebook, SINOVOIP Banana Pi BPI-M64 и Xunlong Orange Pi Win (Plus);
- Расширено число поддерживаемых командой Debian Med метапакетов med-*, позволяющих установить подборки программ, связанные с биологией и медициной;
- Обеспечена поддержка гостевых систем Xen в режиме PVH;
- В OpenSSL отключена поддержка протоколов TLS 1.0 и 1.1, в качестве минимальной поддерживаемой версии заявлена TLS 1.2;
- Удалены многие устаревшие и оставшиеся без сопровождения пакеты, включая Qt 4 (оставлен только Qt 5), phpmyadmin, ipsec-tools, racoon, libreswan, ssmtp, ecryptfs-utils, mcelog, revelation. В Debian 11 будет прекращена поддержка Python 2;
- Создан порт для 64-разрядной архитектуры RISC-V, который не вошёл в число официально поддерживаемых в Debian 10. В настоящее время для RISC-успешно собирается около 90% от общего числа пакетов;
- В Live-окружениях начал применяться развиваемый независимо модульный инсталлятор Calamares с интерфейсом на базе Qt, который также применяется для организации установки дистрибутивов Manjaro, Sabayon, Chakra, NetRunner, KaOS, OpenMandriva и KDE neon. В обычных установочных сборках продолжает использоваться debian-installer.
В дополнение к ранее доступным сформировано Live-окружение с рабочим столом LXQt и Live-окружение без графического интерфейса, только с консольными утилитами, составляющими базовую систему. Консольное Live-окружение может быть использовано для очень быстрой установки дистрибутива, так как в отличие от традиционных установочных образов осуществляется копирование уже готового среза каталогов, без раскрытия отдельных пакетов при помощи dpkg.
© OpenNet