Hlavní navigace

Debian 7.0 Wheezy vylepšuje bezpečnost a nasazuje multiarch

Petr Krčmář 7. 5. 2013

Po dvou letech je tu další vydání linuxové distribuce Debian. Ta je oblíbená jak u koncových uživatelů či správců serverů, tak i u tvůrců dalších distribucí. Jde spíše o evoluční vydání, i tak je v něm ale poměrně hodně novinek týkajících se software, ale i distribuce samotné. Co je tedy nového?

Předchozí dvě vydání Debianu se podařilo vydat v únoru, prakticky přesně dva roky po sobě. Wheezy se mírně zdržel a vyšel až 5. května, ale v případě Debianu to nikomu nevadí. Podle hesla „Debian vychází, když nastane správný čas“ je lepší si počkat na dobré vydání než zbytečně tlačit na pilu kvůli termínům.

Čtěte recenze starších vydání Debianu:

Wheezy je konečně tady a může dojít k odmražení testingu, které trvá od června loňského roku. Začne příprava nové verze, jejíž kódové jméno je Jessie. Vyjít by měla někdy na jaře roku 2015.

Jak to stáhnout?

Wheezy vychází jako obvykle na různých médiích. Podle architektury si tak můžete stáhnout 9 až 10 DVD nebo 61 až 69 CD. To je samozřejmě maximální počet, v praxi si vystačíte s prvním médiem a připojením k internetu. Všechny ostatní balíčky pak budete instalovat online.

Existuje také šikovné multiarch DVD, na kterém naleznete 32– i 64bitové balíčky. Pro běžného desktopového uživatele je to ideální volba. Dále pak existuje Blu-ray varianta, kterou ale stáhnete jen pomocí stahovacího nástroje Jigdo.

Bohužel byla ukončena moje oblíbená Businesscard instalace, která měla pouhých 40 MB. Vše ostatní se stahovalo zcela čerstvé z internetu. Nyní je podporována už jen netinst varianta, jejíž obraz má mezi 135 a 175 MB. Kromě samotného instalátoru však obsahuje i malou sadu základních balíčků.

Toto vše stahujte ze zrcadel Debianu.

Prohlédněte si galerie: grafická instalace Debianu a textová instalace Debianu Wheezy.

Multiarch zjednoduší správu systému

Debian Wheezy přináší podporu dvou nových architektur: 64bitový port s390×, který by měl nahradit starší s390 a armhf, alternativa k portu armel, která využívá hard-float v moderních zařízeních. Celkem tedy Debian podporuje následující architektury:

Architektura Označení v Debianu
32bitový Intel i386
64bitový Intel amd64
SPARC sparc
PowerPC powerpc
MIPS mips/mipsel
Intel Itanium ia64
S/390 s390
IBM System z s390×
ARM EABI armel
ARMv7 armhf

Kromě toho jsou k dispozici ještě porty GNU/kFreeBSD označené jako kfreebsd-amd64 a kfreebsd-i386. Ty ale nejsou zatím ve stavu, kdy by mohly být zařazeny do oficiálního vydání. Vývojáři varují, že jejich kvalita není stoprocentní, proto by měly být používány s opatrností. Pokud ale chcete vyzkoušet Debian s jádrem FreeBSD, máte možnost.

Poměrně významnou novinkou v Debianu Wheezy je podpora multiarch, tedy možnost pohodlně nainstalovat balíčky určené pro různé architektury. Využití je celá řada (třeba pro vývojáře), ale běžný uživatel se s multiarch setká v případě kombinace 64– a 32bitových balíčků.

Dříve kvůli tomu bylo třeba používat balíček ia32-libs, který obsahoval 32bitové knihovny kompilované pro 64bitový systém. Tento hack byl ve Wheezy zrušen, protože už není potřeba. Balíček ovšem stále existuje kvůli aktualizaci ze Squeeze, ale už jen zapne multiarch.

Použití je poměrně snadné, stačí třeba v 64bitovém systému přidat 32bitovou architekturu:

# dpkg --add-architecture i386

Poté musíte aktualizovat zdroje:

# aptitude update

Teď už budete mít k dispozici balíčky z obou architektur. Tím se vám v praxi zdvojnásobí počet dostupných balíčků. Podívejte se na následující příklad:

# aptitude search galculator
i   galculator                      - Kalkulátor používající GTK+ 2.0
p   galculator:i386                 - Kalkulátor používající GTK+ 2.0

Vidíte, že balíček je vidět dvakrát, jednou ve výchozí architektuře a jednou v i386. První variantu nainstalujete standardním způsobem, pokud budete chtít doinstalovat 32bitovou verzi, stačí zadat:

# aptitude install galculator:i386

Systém sám vyřeší závislosti a nainstaluje všechny 32bitové knihovny, jako například libcairo2:i386 a další.

Doporučuji si rozhodně přečíst rozsáhlý manuál k multiarch a v případě aktualizace ze Squeeze také aktualizační postup pro přechod na multiarch.

Software pěkně zabalený

Velmi zajímavé jsou statistiky týkající se balíčků: Wheezy obsahuje proti Squeeze 12 800 nových balíčků a celkem jejich nyní k dispozici 37 493. Většina z balíčků (70 %) přecházejících ze Squeeze byla také aktualizována. Část balíčků byla samozřejmě naopak odstraněna, jedná se asi o 14 % balíčků, v absolutních číslech 4125. Zejména jde o různé již nepoužívané knihovny, vyřazeno bylo například Qt 3.

Nebudeme tu vyjmenovávat desítky verzí různých balíčků, většinou jde jen o desetinkové minoritní aktualizace. Vybereme jen to nejdůležitější: linuxové jádro povýšilo na verzi 3.2, X.Org byl aktualizován na verzi 7.7, desktopová prostředí jsou k dispozici ve verzích: GNOME 3.4, KDE 4.8.4 a Xfce 4.8.

Balík OpenOffice.org byl nahrazen LibreOffice 3.5, Firefox (iceweasel) a Thunderbird (icedove) se zastavily na verzích 10 ESR, tedy verzích s dlouhou podporou.

Balíček ffmpeg byl nahrazen klonem libav nazvaným libav-tools. Ten má podle vývojářů mnohem předvídatelnější a konzervativnější vývojový model. Využívají jej všechny multimediální aplikace jako mplayer, mencoder, vlc a transcode.

Ze serverových balíčků vás čeká PHP 5.4, MySQL 5.5, PostgreSQL 9.1, OpenSSH 6.0p1 a Python 2.7 či 3.2.

Příprava na Systemd

Systemd hýbe linuxovým světem a ani Debian nezůstává úplně pozadu. Přesto Wheezy stále ještě používá SysV init skripty. Od minulé verze je ale umí spouštět paralelně a nyní je tato varianta ve výchozím stavu zapnutá.

Pokud si ale chcete vyzkoušet základní podporu Systemd, můžete si nainstalovat balíček systemd, který bude bezpečně fungovat vedle balíčku sysvinit. Pro přepnutí stačí změnit parametr jádra na  init=/bin/systemd.

Podle vývojářů jde zatím o „technology preview“ a podpora Systemd je součástí jen asi padesátky balíčků. Ty nejdůležitější ji ale obsahují. Například: udev, dbus a rsyslog. Další podrobnosti naleznete na Debian wiki.

Balíčky nové a novější

Pokud máte zájem občas sáhnout po novějších balíčcích, Wheezy vám vyjde vstříc. Existují nové větve stable-backports a stable-updates. První z nich přebírá funkci projektu backports.debian.org a obsahuje nové verze balíčků kompilovaných proti Wheezy. Tady budete nacházet nové aplikace a knihovny.

Druhá jmenovaná větev bude obsahovat takové balíčky, které jsou nutné pro běh některých služeb. Například jde o aktualizaci virových databází či o aktualizaci časových zón. Takové balíčky je potřeba měnit po celou dobu životnosti konkrétního vydání (minimálně tři roky).

Pro přidání těchto větví si do zdrojů přidejte některý (nebo oba) z následujících řádků:

deb     http://mirrors.kernel.org/debian wheezy-backports main contrib
deb     http://mirrors.kernel.org/debian wheezy-updates main contrib

Tvrzená bezpečnost

Wheezy přichází také s novinkami, které se týkají bezpečnosti. Balíčky jsou nově kompilovány s parametry gcc, které zvyšují bezpečnost aplikací. Pro útočníka se komplikuje přepisování zásobníku, není možné předvídat umístění hodnot proměnných v paměti a podobně.

Tyto úpravy se netýkají všech balíčků, ale jen těch ze základního systému (base) a také různých serverů přístupných z internetu. Pozor také na to, že pokud si budete kompilovat balíčky sami, bezpečnostní parametry jsou ve výchozím stavu vypnuté. Pro aktivaci si nainstalujte balíček  hardening-wrapper.

Další příjemnou novinkou je plná podpora technologie AppArmor. Ta dovoluje nastavovat velmi podrobná práva pro jednotlivé aplikace. Pomocí profilů můžete nastavit, ke kterým souborům může aplikace přistupovat, jak může zacházet ze sítí a podobně. Aplikace je tak uzavřená v těsných mantinelech a v případě napadení z nich nemůže uniknout a provádět v systému neplechu.

AppArmor je perfektně podporován například v Ubuntu. V Debianu byla podpora dlouho problematická či úplně rozbitá. Wheezy konečně přichází s plnou podporou jak v jádře, tak i v obslužných utilitách. Pro podrobnosti opět konzultujte wiki Debianu.

Další dva roky s Debianem

Nejde o nijak revoluční změny, ale o užitečná vylepšení usnadňující život. Osobně mě nejvíce potěšila podpora AppArmor, jednoduše řešený multiarch a jsem zvědav na rozšiřující se podporu Systemd.

Následující dva roky teď budeme žít se smutným tučňákem jménem Wheezy. Postupně se ale promění ve veselou krasavici Jessie.

Našli jste v článku chybu?

9. 5. 2013 8:59

A.S. Pergill (neregistrovaný)

Binární konfiguráky jsou prostě shit. To už prostě není linux, ale prasečina na způsob Windows

7. 5. 2013 9:04

Ze tam je, neznamena ze se opravdu pouziva. oSUSE take obsahuje stale jeste sysvinit ale pouziva systemd. Prosil bych spis odkaz jak to opravdu funguje a ne odkaz na existujici balicky :)

defaultni instalace Debian6:
- pridany service se nechce pridat do spousteni po startu bez definice LSB - sysvinit nic takoveho nezna a nepouziva.
- tvrde to pozaduje LSB depend definice a s postupy fungujicimi u standardniho sysvinit (napr rucni vytvoreni linku) si muzete tak leda utrit pozadi... pri pouziti …

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Lupa.cz: Slevové šílenství je tu. Kde nakoupit na Black Friday?

Slevové šílenství je tu. Kde nakoupit na Black Friday?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky