Hlavní navigace

Debian 10 Buster: AppArmor, Wayland a nftables v základu

Petr Krčmář

Po 25 měsících vývoje byla uvolněna desátá verze populární distribuce Debian s kódovým označením Buster. Kromě obvyklé aktualizace většiny balíčků a doplnění dalšího software přichází několik příjemných změn.

Doba čtení: 5 minut

Sdílet

Už čtrnáct let bez přestávky platí, že Debian vychází každé dva roky. Už posedmé tedy v lichém roce vývojáři uvolnili nový Debian, tentokrát s číslovkou 10 a kódovým jménem Buster. Připomeňme, že vydání dostávají jména podle postaviček z filmové série Příběh hraček. Už delší dobu je rozhodnuto o tom, že následující verze se budou jmenovat Bullseye a Bookworm.

Stále platí, že vydání má běžnou podporu v délce tři roky a poté ještě dvouletou podporu v rámci projektu LTS. Buster tedy bude podporován celkem pět let, tedy do roku 2024. Předchozí vydání Stretch má před sebou ještě rok běžné podpory a dva roky LTS, ještě starší Jessie už běží poslední rok v LTS.

Zajímavosti o Debianu 10

  • seznam podporovaných architektur se od minulého vydání nezměnil: i386, amd64, arm64, armel, armhf, mips, mipsel, mips64el, ppc64el a s390×
  • balíčky pro další architektury jsou dostupné v rámci projektu Debian Ports
  • už bylo použito patnáct jmen postav z filmů: Buzz, Rex, Bo, Hamm, Slink, Potato, Woody, Sarge, Etch, Lenny, Squeeze, Wheezy, Jessie, Stretch a Buster
  • ještě je volných šest desítek jmen, filmy a jejich postavy vznikají rychleji než Debian stíhá vydávat verze
  • Buster je složen z 28 939 zdrojových balíčků, které obsahují 11,6 milionů souborů
  • projekt reprodukovatelné kompilace pokračuje, současné vydání obsahuje 91 % reprodukovatelných balíčků
  • v letošním roce do projektu přispělo minimálně 1330 lidí

Podívejte se na průběh grafické instalace Debianu 10 Buster:

Aktualizované i nové balíčky

Do distribuce od posledního vydání přibylo celkem 13 370 nových balíků a Buster jich obsahuje 57 703. Přibližně dvě třetiny balíčků prošly aktualizací, takže 35 532 z nich má novou verzi (62 % všech balíků z verze Stretch). Některé balíčky byly naopak odstraněny, konkrétně jde o 7278 balíků (13 % z předchozího vydání).

Projekt konkrétně zmiňuje některé podstatné změny v nejpoužívanějších balících: 

Balíček Verze v Debianu 9 (Stretch) Verze v Debianu 10 (Buster)
Apache 2.4.25 2.4.38
BIND DNS Server 9.10 9.11
Cryptsetup 1.7 2.1
Dovecot MTA 2.2.27 2.3.4
Emacs 24.5 a 25.1 26.1
Exim 4.89 4.92
GNU Compiler Collection 6.3 7.4 a 8.3
GIMP 2.8.18 2.10.8
GnuPG 2.1 2.2
Inkscape 0.92.1 0.92.4
the GNU C library 2.24 2.28
lighttpd 1.4.45 1.4.53
Linux kernel image řada 4.9 řada 4.19
LLVM/Clang toolchain 3.7 6.0.1 a 7.0.1 (výchozí)
MariaDB 10.1 10.3
Nginx 1.10 1.14
OpenJDK 8 11
OpenSSH 7.4p1 7.9p1
Perl 5.24 5.28
PHP 7.0 7.3
Postfix MTA 3.1.8 3.3.2
PostgreSQL 9.6 11
Python 3 3.5.3 3.7.2
Rustc 1.34
Samba 4.5 4.9
Vim 8.0 8.1

Pokud vás Debian zajímá jako desktop, pak vězte, že jsou pro vás připravena prostředí: GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0.14, MATE 1.20, Cinnamon 3.8 a Xfce 4.12. Výchozí grafické téma se jmenuje futurePrototype a je v něm šikovně zakomponována silueta psa:

GNOME na Waylandu

Výchozí desktopové prostředí GNOME nově pro svůj běh využívá Wayland. Klasický X.org je ale stále součástí výchozí instalace a na přihlašovací obrazovce je možné mezi oběma variantami přepínat.

Více se na svém blogu o přechodu na Wayland rozepsal vývojář Jon Dowland, který se domnívá, že ještě nenastal správný čas. Podle jeho názoru by bylo lepší zůstat u tohoto vydání ještě na X.org a nabízet Wayland zatím jako alternativu k testování. Nakonec se ale vývojáři rozhodli jinak a GNOME v Busteru ve výchozím stavu startuje nad Waylandem.

Podívejte se, jak vypadá výchozí instalace GNOME s Waylandem v Busteru:

AppArmor zapnutý ve výchozím stavu

Velkou novinkou tohoto vydání je zapnutí modulu AppArmor. Jde o systém pro mandatorní řízení přístupu (MAC), který umožňuje na úrovni linuxového jádra vytvářet profily jednotlivých programů. Ty pak velmi přesně definují, co může daný program v operačním systému dělat. Které soubory si přečte, jak může komunikovat po síti, kam může na disku zapisovat a podobně.

Buster má po instalaci funkci AppArmor zapnutou a základní profily pro některé programy přicházejí v předinstalovaném balíčku apparmor. Některé balíky (třeba prohlížečka PDF evince) si profil nesou sebou, další je možné doinstalovat pomocí balíku apparmor-profiles-extra.

Výchozím firewallem je nftables

Už Debian 9 Stretch přinesl firewall nftables jako alternativu ke klasickému IPtables. Desítka jde o další krok vpřed a nftables se stává výchozím firewallem. Nová verze balíčku iptables obsahuje dvě nové binárky: iptables-nft a iptables-legacy. První jmenovaná je nastavena jako výchozí a používá subsystém nftables, druhá pak umožňuje stále používat x_tables. Přepínat mezi nimi můžete pomocí  update-alternatives.

Změna se týká všech podřazených utilit jako iptables-*, ip6tables-*, arptables, ebtables a dalších. Ty všechny nyní existují ve verzi pro IPtables i nftables a vývojáři Debianu rozhodně doporučují začít používat novější rozhraní.

Nový firewall je výkonnější, má jednodušší syntaxi, nabízí jednotné rozhraní pro nastavování firewallu pro IPv4 a IPv6, při aktualizaci pravidel používá atomických operací, dovoluje velmi rychlou klasifikaci paketu pomocí sady pravidel (setu) a podobně. Také Red Hat v osmé verzi distribuce RHEL přešel na nftables. Už je čas.

Šifrované disky používají LUKS2

Pokud v novém Debianu vytvoříte šifrovací disk příkazem cryptsetup, ve výchozím stavu bude použit nový formát LUKS2. Ten přišel do verze 2.0 v roce 2017 a na rozdíl od staršího formátu nabízí redundanci metadat, detekci jejich poškození, konfigurovatelný algoritmus PBKDF a další novinky.

Starší verze označovaná jako LUKS1 je samozřejmě stále podporovaná. Ke konverzi nedochází automaticky, ale uživatel si ji může vyžádat. Kvůli rozdílné velikosti hlaviček ale nebude konvertovaný svazek podporovat všechny vlastnosti nově vytvořeného svazku rovnou s LUKS2. Dejte si pozor také na to, že zavaděč GRUB si zatím s formátem LUKS2 nerozumí a neumí z něj zavést jádro.

Další střípky

Počínaje Busterem je možné bootovat bezpečně pomocí UEFI Secure Boot. Umožňuje to startovat na daném počítači jen software podepsaný patřičnými klíči a vyhnout se tak některým vektorům útoku. Podporu je možné zapnout i na dodatečně aktualizovaném Debianu, ale vyžaduje to doinstalaci balíku shim-signed, grub-efi-amd64-signed či grub-efi-ia32-signed a použití balíčku jádra z Busteru.

Nové instalace přesouvají obsah adresářů  /bin, /sbin a /lib do podadresáře /usr. V kořenovém adresáři stále existují symlinky na nová umístění. Při aktualizaci na Buster se nic samo nezmění, ale existuje balík usrmerge, který dovoluje změnu provést dodatečně.

CUPS dodávaný v Busteru umožňuje tisknout bez ovladačů. Vyžaduje to tiskárnu s podporou protokolu AirPrint, který je v balíku CUPS nyní ve výchozím stavu zapnutý. V takto nakonfigurovaném systému pak není potřeba pro využití tiskárny instalovat žádný konkrétní ovladač dodávaný výrobcem.

Tým projektu Debian Live vytvořil nové obrazy s lehkým desktopovým prostředím LXQt. To se přidává ke stávajícím desktopům: Cinnamon, GNOME, KDE Plasma, LXDE, MATE a Xfce. Pro instalaci z živého systému je nově použit instalátor Calamares (zprávička na Rootu), který je pohodlnější než klasický instalátor z Debianu.

Aktualizujte nebo instalujte

Další podrobnosti naleznete v obsáhlých poznámkách k vydání, případně v instalační příručce. Na Debian 10 Buster můžete aktualizovat starší verzi systému, rozhodně si ale přečtěte dokumentaci k přechodu na novější verzi. Pokud se rozhodnete pro čistou instalaci, rozhodně začněte stažením instalačních obrazů.