Nový Debian Trixie vychází po dvou letech od předchozího vydání Bookworm, zároveň se tím začíná připravovat čtrnáctá verze Forky, která vyjde opět za dva roky. Známe už také jméno pro následující patnácté vydání, které se bude jmenovat Duke.
Aktuální vydání bude plnohodnotně podporováno do roku 2028, poté ještě dva roky poběží prodloužená podpora LTS. Ta ovšem už neřeší všechny balíčky a architektury. Podstatné je, že předchozí vydání Bookworm bude podporováno ještě celý rok, takže na přechod na Trixie máte ještě dost času.
Konec instalace na 32bitové procesory i386
Už s vydáním Bookwormu se mluvilo o tom, že jde o poslední vydání s plnohodnotnou podporou architektury i386, tedy 32bitových procesorů s architekturou Intel. Trixie se skutečně připojuje k většině moderních distribucí a tuto klasickou platformu po více než třiceti letech opouští: už pro ni neexistuje žádné oficiální jádro ani instalátor Debianu.
Přesto to není úplný konec, protože vývojáři zachovávají balíčky programů běžících na 32bitových procesorech. Postupně jich ovšem ubývá, jak vývojáři těchto programů opouštějí podporu i386. Tyto balíčky zůstávají v repozitářích a jejich smyslem je umožnit provozovat starý 32bitový software v moderním 64bitovém systému. Můžete si tak třeba spustit multiarch v chrootu.
Nastupuje RISC-V, loučíme se s 32bitovým MIPS
To ovšem není z hlediska podpory architektur zdaleka všechno. V průběhu mnoha let byl seznam vlastně velmi stabilní, letos se s ním docela zatřáslo. Velkou novinkou je zařazení podpory RISC-V, která v Debianu nese označení riscv64. V tuto chvíli je v Debianu podpora zaměřena na linuxové jádro a 64bitový RISC-V little-endian. Další detaily včetně podporovaného hardwaru je možné najít v projektové wiki.
Před dvěma lety Debian naopak oznámil, že Trixie už nebude nabízet podporu pro 32bitový MIPS. Po i386 šlo o druhou nejstarší architekturu podporovanou v Debianu. Za ukončením podpory stojí zejména nedostatek vývojářů věnujících se této platformě a s tím související přibývající technické problémy. Podpora pro 64bitový MIPS (mips64el) je stále k dispozici.
Debian Trixie tedy vyšel pro sedm následujících architektur:
- 64bitové PC (
amd64) - 64bitový ARM (
arm64) - ARM EABI (
armel) - ARMv7 (EABI hard-float ABI,
armhf) - 64bitové little-endian PowerPC (
ppc64el) - 64bitové little-endian RISC-V (
riscv64) - IBM System z (
s390x)
Debian Trixie v číslech
Debian Trixie obsahuje mnohem více softwaru než její předchůdce Bookworm – celkem přibylo 14 116 nových balíčků, celkem mají tedy uživatelé k dispozici přes 69 830 balíčků. Většina softwaru v distribuci byla také aktualizována: přes 44 326 softwarových balíčků, což je 63 % všech balíčků v Bookwormu.
Z různých důvodů bylo také z distribuce odstraněno značné množství balíčků: více než 8844, což je 12 % balíčků v Bookwormu. Pro tyto balíčky nebudou k dispozici žádné aktualizace a v rozhraní pro správu balíčků budou označeny jako „zastaralé“.
K dispozici je řada nových verzí různých nástrojů. Následující tabulka shrnuje nejpodstatnější změny verzí mezi Bookwormem a Trixie:
| Balíček | Verze v Bookwormu | Verze v Trixie |
|---|---|---|
| Apache | 2.4.62 | 2.4.64 |
| Bash | 5.2.15 | 5.2.37 |
| BIND DNS Server | 9.18 | 9.20 |
| Cryptsetup | 2.6 | 2.7 |
| curl/libcurl | 7.88.1 | 8.14.1 |
| Emacs | 28.2 | 30.1 |
| Exim | 4.96 | 4.98 |
| GCC | 12.2 | 14.2 |
| GIMP | 2.10.34 | 3.0.4 |
| GnuPG | 2.2.40 | 2.4.7 |
| Inkscape | 1.2.2 | 1.4 |
| the GNU C library | 2.36 | 2.41 |
| Linuxové jádro | řada 6.1 | řada 6.12 |
| LLVM/Clang | 13.0.1, 14.0 (výchozí) a 15.0.6 | 17, 18 a 19 (výchozí) |
| MariaDB | 10.11 | 11.8 |
| Nginx | 1.22 | 1.26 |
| OpenJDK | 17 | 21 |
| OpenLDAP | 2.5.13 | 2.6.10 |
| OpenSSH | 9.2p1 | 10.0p1 |
| OpenSSL | 3.0 | 3.5 |
| Perl | 5.36 | 5.40 |
| PHP | 8.2 | 8.4 |
| Postfix | 3.7 | 3.10 |
| PostgreSQL | 15 | 17 |
| Python 3 | 3.11 | 3.13 |
| Rustc | 1.63 | 1.85 |
| Samba | 4.17 | 4.22 |
| Systemd | 252 | 257 |
| Vim | 9.0 | 9.1 |
Také uživatelé Debianu na desktopu si přijdou na své, k dispozici je celá řada aktuálních desktopových prostředí: GNOME 48, KDE Plasma 6.3, LXDE 13, LXQt 2.1.0 a Xfce 4.20.
HTTP Boot
Úplnou novinkou v aktuálním vydání Debianu je HTTP Boot, který vám umožňuje jednoduše zadat URL na jakýkoli Debian Installer nebo obraz live image v nastavení firmwaru vašeho počítače používajícího UEFI nebo U-Boot.
Tím se rovnou po síti systém nastartuje, aniž byste museli projít obvyklým kolečkem stažení celého obrazu, jeho zápisu na flash disk a následného startu z tohoto úložiště.
Na systémech používajících firmware TianoCore přejděte do nabídky Device Manager, poté zvolte Network Device List, zvolte síťové rozhraní, HTTP Boot Configuration a zadejte úplnou adresu URL ISO Debianu, ze které se má spustit systém.
APT 3.0 s novým řešitelem
Součástí nové verze je také zbrusu nový balíčkovací systém APT ve verzi 3.0. Ten přináší na první pohled vylepšené uživatelské rozhraní, které pomocí barev a rozdělení seznamů balíčků do sekcí a sloupců zpřehledňuje připravovanou akci. Už by se vám tedy nemělo stát, že omylem odstraníte něco, co jste nechtěli.
Uživatelé jistě také zaznamenají nový formát pro výběr repozitářů. Ten se jmenuje DEB822 a byl převzat ze standardu RFC 822 pro e-mailové zprávy. Ten je lépe čitelný, rozšiřitelný a vývojáři se v budoucnu zaměří právě na tento nový formát. Přejít na něj můžete automaticky pomocí apt modernize-sources.
Zároveň je součástí také nový řešitel závislostí, který je výrazně rychlejší, efektivnější při úklidu a při běžných aktualizacích se snaží dělat co nejméně změn. Naopak při odstraňování přebytečných závislostí je nyní balíčkovač šikovnější a udržuje systém čistší.
Více se dozvíte v článku Balíčkovací systém APT 3.0: lepší rozhraní a nový řešitel závislostí
Zabezpečení proti útokům ROP a COP/JOP
Trixie zavádí bezpečnostní funkce na architekturách amd64 a arm64, které jsou navrženy tak, aby zmírňovaly útoky typu Return-Oriented Programming (ROP) a Call/Jump-Oriented Programming (COP/JOP). Ochrana je k dispozici automaticky, pokud ji podporuje hardware. Postup ověření je popsaný na projektové wiki.
Na amd64 je tato ochrana založena na technologii Intel Control-flow Enforcement Technology (CET) pro ochranu ROP i COP/JOP, na arm64 se používá Pointer Authentication (PAC) pro ochranu ROP a Branch Target Identification (BTI) pro ochranu COP/JOP.
Přechod na 64bitové ABI time_t
Blíží se nám rok 2038, který bude znamenat přetečení 32bitových počítadel unixového času. Všechny podporované platformy v Trixie nyní podporují 64bitové ABI time_t. To znamená, že je možné ukládat časové hodnoty zhruba na 292 miliard let do budoucnosti a obejít tak známý problém s rokem 2038.
Na 32bitových architekturách armel a armhf se ABI mnoha knihoven také změnilo, aniž by se změnil soname knihovny. Na těchto architekturách bude nutné překompilovat software a balíčky třetích stran a zkontrolovat, zda vše správně funguje.
V případě balíčků pro i386 nedochází k žádné změně, protože ty jsou určeny pro provoz starého software.
Dokončené sloučení /usr
Vývojářům Debianu se po mnoha letech technických problémů a odkladů podařilo dokončit proces slučování adresářů do /usr. To znamená, že systém nyní používá jednotnou strukturu adresářů, kde jsou všechny soubory umístěny v adresáři /usr. Tento proces sloučil tradiční oddělené adresáře, jako jsou /bin, /sbin, /lib, a /lib64, do jejich odpovídajících podadresářů v /usr.
Struktura souborového systému je díky tomu konzistentnější, zmizelo nesmyslné rozdělení na dva světy, které vzniklo kdysi z nouze a pak jsme se ho desítky let drželi. Trvalo dlouho, než se podařilo obrousit všechny hrany, ale Trixie je první Debian, který tohle sloučení považuje za vyřešené.
Více si přečtěte v článku Kam mizí adresáře /bin, /sbin a /lib a proč už je nepotřebujeme?
OpenSSH bez DSA, ale s ochranou
Klíče DSA (Digital Signature Algorithm), jak jsou specifikovány v protokolu Secure Shell (SSH), jsou ze své podstaty slabé: jsou omezeny na 160bitové soukromé klíče a digest SHA-1. OpenSSH 7.0p1 z roku 2015, které vyšlo společně s Debianem 9 Stretch, ve výchozím nastavení zakázanou podporu klíčů DSA. Stále ji ale bylo možné povolit pomocí konfiguračních voleb HostKeyAlgorithms a PubkeyAcceptedAlgorithms.
V novém Debianu už je ale verze OpenSSH (serverová i klientská), která podporu DSA zcela opouští. Už není možné se k ní v této verzi vrátit pomocí žádné volby. Nyní jsou tedy k dispozici algoritmy RSA, ECDSA, a Ed25519. Více v článku Používání klíčů v OpenSSH.
OpenSSH také zavádí novou ochranu proti hádání hesel, která je postavena na trestech za špatné chování. Pokud se klient okamžitě odpojuje, zdržuje server odkládáním autentizace, či hádá hesla, dostává penalizaci. Po určitou dobu se pak k serveru nedostane a nemůže jej přetěžovat či jinak ohrožovat.
Adresář /tmp používá tmpfs
Nově je globální dočasný adresář /tmp připojený pomocí souborového systému tmpfs. Znamená to, že jeho obsah je uložen v paměti v ramdisku. Výsledkem je, že se při práci s dočasnými soubory nezatěžuje skutečné úložiště a přístup k souborům je velmi rychlý. Je ale třeba dát pozor na práci s příliš velkými soubory, které by mohly zaplnit ramdisk a tím znemožnit další zápis do adresáře.
Ve výchozím stavu je kapacita ramdisku nastavena na 50 % paměti RAM. Je možné to změnit editací unit souboru tmp.mount, kde je možné parametrem size nastavit velikost v absolutních číslech. Pokud se vám celé tohle chování nelíbí a chcete se vrátit k /tmp na běžném úložišti, stačí soubor zamaskovat a pak restartovat systém:
# systemctl mask tmp.mount
Další střípky
Projekt manpages-l10n přispěl mnoha vylepšenými a novými překlady manuálových stránek.
Webové prohlížeče založené na Qt WebEngine, zejména Privacy Browser a Falkon, nyní podporují kontrolu pravopisu pomocí dat hunspell.
Debian se opět posunul v reprodukovatelnosti jednotlivých balíčků. Stav balíčků nainstalovaných ve vašem systému můžete zkontrolovat pomocí nového balíčku debian-repro-status nebo můžete navštívit stránku reproduce.debian.net, kde najdete souhrnné statistiky.
Utilita curl i knihovna libcurl nyní podporují HTTP/3. Balíček curl nyní obsahuje také wcurl, alternativu k wget, která používá curl k jednoduchému stahování obsahu z webu.
