Vyšel Debian 8 Jessie: přináší systemd a MariaDB

Petr Krčmář 27. 4. 2015

Dvouletý cyklus byl uzavřen a vychází Debian 8 Jessie. Zároveň vzniká nový testing s kódovým jménem Stretch a Wheezy pomalu odchází na odpočinek. Mezi hlavní novinky patří přechod na výchozí systemd, podpora MariaDB, nové balíčky a některé bezpečnostní změny. Jakých změn se uživatelé dočkali?

Po dvou letech vychází další verze Debianu. Vývojáři se před dvěma verzemi pokusili přidat do vývojového cyklu pravidelnost, abychom se dočkali nové verze jednou za dva roky. Skutečně se to daří držet, jaro lichého roku značí vydání nového Debianu.

Čtěte recenze starších vydání Debianu:

O víkendu vyšla osmá verze s kódovým jménem „Jessie“. Ta bude mít plnou podporu přibližně tři roky (rok po vydání další verze – Stretch) a poté bude ještě následovat dvouletá LTS podpora. Jessie tu tedy s námi bude do roku 2020.


Autor: Freexian

Debian drží tradici v pojmenování svých vydání podle postav z filmů Toy Story. Jessie je cowgirl, která se objevila ve druhém a třetím filmu. Je temperamentní, statečná a má výbornou kondici. Snad bude takový i nový Debian. Novinek je v něm dost.

Jessie

Výměna architektur

Jako obvykle došlo ke změnám v podpoře architektur, čtyři porty se nepodařilo dotáhnout do stavu, kdy by byly přijaty do vydání. Podle plánu vypadla architektura ia64 a s390 byla nahrazena novou variantou s390×. Stejně tak vypadla architektura Sparc, která byla v Debianu od verze 2.1 z roku 1999. Porty s jádry kFreeBSD a Hurd nejsou také součástí vydání, přestože se o to vývojáři hodně snažili. Neznamená to ale, že je nemůžete použít. Jen neprošly procesem vydání a vývojáři je považují za nedokončené. O zařazení konkrétního portu rozhoduje několik skupin lidí včetně Debian System Administration, security team, správců auto-builder network, release team a další.

Debian Jessie tedy vychází v následujících příchutích:

  • 32bitové PC (i386) a 64bitové PC (amd64)
  • 64bitový ARM (arm64)
  • ARM EABI (armel)
  • ARMv7 (EABI hard-float ABI, armhf)
  • MIPS (mips (big-endian) a mipsel (little-endian))
  • PowerPC (powerpc)
  • 64bitové little-endian PowerPC (ppc64el)
  • IBM System z (s390×)

Balíčků je opět víc

Opět přibyla celá řada balíčků, v Jessie přibylo 12 253 nových balíčků a celkem je jich pro vás připraveno 43 512. Dvě třetiny (66 %) jich navíc byly aktualizovány, nové verze najdete v 24 573 z nich. Od Wheezyho také byla část balíčků vyřazena, 14 % (5441) jich do Jessie z různých důvodů neprošlo. Konkrétní verze nejdůležitějších balíčků naleznete v následující tabulce:

Balík Version 7 (Wheezy) Version 8 (Jessie)
Apache 2.2.22 2.4.10
BIND DNS Server 9.8 9.9
Courier MTA 0.68 0.73
Dia 0.97.2 0.97.3
Exim e-mail server 4.80 4.84
GNU Compiler Collection 4.7 na PC, 4.6 jinde 4.9
knihovna GNU C 2.13 2.19
lighttpd 1.4.31 1.4.35
linuxové jádro řada 3.2 řada 3.16
maradns 1.4.12 2.0.09
OpenLDAP 2.4.31 2.4.40
OpenSSH 6.0p1 6.7p1
Perl 5.14 5.20
PHP 5.4 5.6
Postfix MTA 2.9 2.11
PostgreSQL 9.1 9.4
Python 3 3.2 3.4
Samba 3.6 4.1

Debian také nabízí různá desktopová prostředí: GNOME 3.14, KDE 4.11, Xfce 4.10 a LXDE. Výchozím desktopovým prostředím zůstává po složitém rozhodování GNOME. Už při instalaci je ale možné zvolit jiné prostředí nebo jich nechat nainstalovat několik najednou. Také je dostupná řada desktopových aplikací, například: Firefox (Iceweasel) a Thunderbird (Icedove) 31.6, Chromium 41, LibreOffice 4.3 a Evolution 3.12.


Michal Medvecký

Jessie propagují i v Bille!

systemd je výchozí

Už v předchozí verzi Debianu s názvem Wheezy byl přítomen démon systemd, ovšem nebyl nainstalován ve výchozím stavu. Vývojáři jeho přítomnost označovali za „technology preview“ a stále ještě upřednostňovali sysvinit. Bylo už ale možné celkem bez problémů oba démony nainstalovat paralelně a při startu mezi nimi přepínat.

Nyní je v Jessie systemd výchozí volbou, stále však platí, že může být nainstalován vedle sysvinit. Pokud chcete balíček s náhradou /bin/init, nainstalujte ještě systemd-sysv. Ten obsahuje symbolické odkazy z klasických příkazů na systemd, respektive  systemctl.

Systemd stále ještě vyvolává v komunitě emoce, ale vývojáři se nedávno rozhodli nezavést povinnost udržovat kompatibilitu s ostatními spouštěcími systémy. Znamená to, že je na správcích jednotlivých balíčků, jestli do nich zahrnou závislost na systemd nebo určí obecnější pravidla. Zatím je ve většině případů možné si mezi různými démony zvolit, uvidíme ale, jak moc bude systemd prorůstat do ostatních projektů v budoucnu. V tomto směru bude ale Debian většinou podřízen upstreamu.

Pokud máte přesto se systemd velký problém a vůbec ho v systému nechcete, můžete počkat na klon Debianu zvaný Devuan. První verze by měla následovat brzy po Jessie a změn by mělo být jen tolik, aby uživatel skutečně nebyl závislý na systemd. Aktualizace z Wheezyho na Devuan 1 by měla být stejná jako přechod na Jessie. Uvidíme.

Bezpečnostní změny

Jessie má vypnutou podporu protokolu SSLv3, který je dnes považován za nebezpečný. Útok jménem POODLE umožňuje aktivnímu útočníkovi dešifrovat obsah komunikace. Proto mají kryptografické knihovny i serverové a klientské aplikace podporu tohoto protokolu vypnutou.

V jádře verze 3.16 přibyly ochrany před některými útoky využívajícími symlinky a hardlinky. Dříve mohl například útočník vytvořit odkaz v adresáři /tmp a zneužít privilegovaný odkaz k jeho následování a provedení privilegované akce jinde na disku. Proto dnes jádro hlídá, zda má symlink stejného vlastníka jako odkazovaný soubor a zda není vytvářen uvnitř adresáře se sticky bitem. Stejně tak hardlink může směřovat pouze na soubor, který uživateli patří a navíc do něj musí mít právo zápisu.

Proti Wheezymu byly upraveny také kompilační parametry balíčků, aby byla zajištěna větší odolnost kódu proti útokům. Stack protector flag byl přepnut do režimu stack-protector-strong. Pokud si kompilujete vlastní balíčky, musíte dát pozor na to, že tato volba není ve výchozím stavu zapnutá. Pokud chcete používat stejné nastavení jako má zbytek systému, nainstalujte si balíček  hardening-wrapper.

Novinkou je balíček needrestart, který je náhradou za známý checkrestartDebian Goodies. Pokud si jej nainstalujete, bude systém stejnojmennou utilitu automaticky pouštět po každém použití balíčkovacího systému a upozorní vás na služby, které je potřeba restartovat. Ujistíte se tak, že všechny běžící služby používají nejnovější soubory z aktualizovaných balíků.

MariaDB vedle MySQL

Jessie vedle MySQL 5.5 nabízí také MariaDB 10.0. Debian 9 Stretch bude pravděpodobně obsahovat už jen jednu z těchto možností. Můžete hádat, která to bude. Z uživatelského hlediska je zásadní, že zatímco upstream podpora MySQL 5.5 bude ukončena v prosinci 2017, MariaDB 10.0 bude dostávat bezpečnostní záplaty do března 2019. Zohlednit to bude muset jak security tým, tak i tým LTS, který má už teď z MySQL těžkou hlavu.

Žádné drama

Změn není málo, ale jsou spíše evoluční a dlouho dopředu očekávané. Nejde o žádné přelomové vydání, což je spíše dobrá zpráva. Debian dlouhodobě platí za konzervativní a stabilní základ mnoha dalších distribucí a nemálo správců jej provozuje na svých serverech (včetně autora článku). Zajímavější bude sledovat úspěch odnože Devuan a také to, jak se LTS tým popere s některými balíčky s relativně krátkou upstream podporou, například se zmíněným MySQL. Je možné, že už je v Jessie naposled.

A co vy, už jste aktualizovali?

Našli jste v článku chybu?
Podnikatel.cz: Chtěli za cigarety víc, než je na krabičce

Chtěli za cigarety víc, než je na krabičce

Podnikatel.cz: Selhala pokladna k EET. Kdo zaplatí pokutu?

Selhala pokladna k EET. Kdo zaplatí pokutu?

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

Lupa.cz: Největší torrentový web KickassTorrents padl

Největší torrentový web KickassTorrents padl

Měšec.cz: Do ostravské MHD bez jízdenky. Stačí vaše karta

Do ostravské MHD bez jízdenky. Stačí vaše karta

Podnikatel.cz: Tahle praktika stála šmejdy přes milion

Tahle praktika stála šmejdy přes milion

Lupa.cz: Vodafone umí volání přes Wi-Fi. Z ciziny jako v ČR

Vodafone umí volání přes Wi-Fi. Z ciziny jako v ČR

DigiZone.cz: Oživení ekonomiky by mělo navýšit reklamu

Oživení ekonomiky by mělo navýšit reklamu

Lupa.cz: eIDAS: Nepřehnali jsme to s výjimkami?

eIDAS: Nepřehnali jsme to s výjimkami?

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Podnikatel.cz: Přiznal prodej padělků. Pokuta ho nemine

Přiznal prodej padělků. Pokuta ho nemine

Vitalia.cz: Bio vejce nepoznají ani veterináři

Bio vejce nepoznají ani veterináři

DigiZone.cz: Kauza technik: oficiální vyjádření Novy

Kauza technik: oficiální vyjádření Novy

Podnikatel.cz: Účtenky v rámci EET? Klidně emailem

Účtenky v rámci EET? Klidně emailem

Podnikatel.cz: Eshop z ČR v Rumunsku? Žádná legrace

Eshop z ČR v Rumunsku? Žádná legrace

Vitalia.cz: Sobotní masakr žrádla, chlastu a zábavy

Sobotní masakr žrádla, chlastu a zábavy

Vitalia.cz: Nejdůležitější změny v potravinářské novele

Nejdůležitější změny v potravinářské novele