Добрый день! 6 июля выйдет новая версия дистрибутива Debian под кодовым именем Buster. Ранее мы уже рассмотрели:

Как установить Debian 10.

Как обновить Debian 9 до Debian 10.

Как установить дополнения гостевой ОС для Debian 10.

Теперь же давайте рассмотрим, что нового в Debian Buster:

Новый выпуск Debian опять содержит намного больше программ, чем его предшественник, stretch. Дистрибутив включает в себя более 15346 новых пакетов, всего их стало более 51687. Большая часть программ, входящих в дистрибутив, была обновлена: более 29859 пакетов (что составляет 57% дистрибутива stretch). Также, по различным причинам многие пакеты (более 6739, 13% дистрибутива stretch) были удалены из дистрибутива. Эти пакеты не будут обновляться, в инструментах управления пакетами они будут помечены как «устаревшие» (obsolete) .

Debian снова поставляется с несколькими настольными приложениями и средами. Среди прочего он теперь включает в себя среду рабочего стола GNOME 3.30, KDE Plasma 5.14, LXDE 10, LXQt 0,14, MATE 1.20 и Xfce 4.12.

Также были обновлены следующие офисные приложения:

• LibreOffice обновлен до версии 6.1;
• Calligra обновлен до 3.1.
• GNUcash обновлен до 3.4;

В версии Buster, Debian впервые предоставляет обязательную структуру управления доступом, включенную по умолчанию. В новых установках Debian Buster AppArmor будет установлен и включен по умолчанию.

Кроме того, Buster является первым выпуском Debian, который поставляется с программами на основе Rust, такими как Firefox, ripgrep, fd, exa и т. Д., И значительным количеством библиотек на основе Rust (более 450). Buster поставляется с Rust 1.34.

Обновления других настольных приложений включают в себя обновление до Evolution 3.30.

UEFI Безопасная загрузка

Безопасная загрузка — это функция, включенная на большинстве ПК, которая предотвращает загрузку неподписанного кода, защищая от некоторых видов буткитов и руткитов.

Debian теперь можно установить и запустить на большинстве ПК с включенной безопасной загрузкой.

Можно включить безопасную загрузку в системе, в которой установлена ​​Debian, если она уже загружается с использованием UEFI. Перед этим необходимо установитьshim-signed, grub-efi-amd64-signed или же grub-efi-ia32-signedи пакет ядра Linux от Debian 10 Buster.

Некоторые функции GRUB и Linux ограничены в режиме безопасной загрузки, чтобы предотвратить изменение их кода.

AppArmor включен по умолчанию

Debian Buster AppArmor включен по умолчанию. AppArmorявляется обязательной структурой управления доступом для ограничения возможностей программ (таких как права монтирования, ptrace и сигналов или права на чтение, запись и выполнение файлов) путем определения профилей для каждой программы.

По умолчанию apparmor пакет поставляется с профилями AppArmor для нескольких программ. Некоторые другие пакеты, такие как evince, включают профили для программ, которые они отправляют. Больше профилей можно найти вapparmor-profiles-extra пакет.

AppArmorдоступен из списка рекомендованных пакетов ядра Linux Buster. В системах, которые настроено не устанавливать рекомендованные пакеты по умолчанию,apparmorпакет может быть установлен вручную.

Опциональное уплотнениеAPT

Все методы, предоставляемые APT (например, http и https), за исключением cdrom, gpgv и rsh, могут использовать изолированную программную среду seccomp-BPF, предоставляемую ядром Linux, для ограничения списка разрешенных системных вызовов и перехвата всех остальных с помощью SIGSYSсигнала. , Эта песочница в настоящее время включена и должна быть включена с:

      APT::Sandbox::Seccomp is a boolean to turn it on/off

Для дальнейшей настройки можно использовать две опции:

      APT::Sandbox::Seccomp::Trap is a list of names of more syscalls to trap
      APT::Sandbox::Seccomp::Allow is a list of names of more syscalls to allow

Автоматические обновления для стабильных выпусков

Предыдущие версии unattended-upgrades по умолчанию устанавливается только обновления, которые пришли из пакета безопасности. В Debian Buster он теперь также автоматизирует обновление до последней стабильной версии. 

Сетевая фильтрация на основе фреймворка nftables по умолчанию

Начиная с iptablesv1.8.2 бинарный пакет включает в себя iptables-nftи iptables-legacyдва варианта iptablesинтерфейса командной строки. Вариант на основе nftables, использующий nf_tablesподсистему ядра Linux, используется по умолчанию в Buster. Унаследованный вариант использует x_tablesподсистему ядра Linux. Система альтернатив обновления может использоваться для выбора одного варианта или другого.

Это относится ко всем связанным инструментам и утилитам:

• Iptables
• Iptables-save
• Iptables-restore
• ip6tables
• ip6tables-save
• ip6tables-restore
• arptables
• arptables-save
• arptables-restore
• Ebtables
• Ebtables-save
• Ebtables — restore

Все это также получили -nft и -legacyварианты. Опция -nft предназначена для пользователей, которые не могут или не хотят переходить на собственный nftables интерфейс командной строки. Тем не менее, пользователи настоятельно рекомендуют переключаться наnftablesинтерфейс, а не использовать iptables.

nftablesобеспечивает полную замену iptables, с гораздо лучшей производительностью, обновленный синтаксис, лучшую поддержку межсетевых экранов с двойным стеком IPv4/IPv6, полностью атомарные операции для динамических обновлений набора правил, API-интерфейс Netlink для сторонних приложений, более быструю классификацию пакетов благодаря расширенному универсальному набору и карта инфраструктуры и многие другие улучшения.

Это изменение согласуется с тем, что делают другие основные дистрибутивы Linux, такие как RedHat, который теперь использует в nftablesкачестве инструмента брандмауэра по умолчанию.

Также обратите внимание, что все iptables бинарные файлы теперь установлены /usr/sbinвместо /sbin. Имеется символическая ссылка совместимости, но она будет отброшена после цикла сброса. Жестко запрограммированные пути к двоичным файлам в скриптах должны быть исправлены, и их стоит избегать.

Cryptsetup по умолчанию использует формат LUKS2 на диске

Cryptsetup версия, поставляемая с Debian Buster, использует новый LUKS2формат на диске . Новые LUKSтома будут использовать этот формат по умолчанию.

В отличие от предыдущего LUKS1 формата, LUKS2 обеспечивает избыточность метаданных, обнаружение повреждения метаданных и настраиваемые PBKDFалгоритмы. Шифрование с аутентификацией также поддерживается, но все еще помечено как экспериментальное.

Существующие LUKS1тома не будут обновляться автоматически. Они могут быть преобразованы, но не все LUKS2 функции будут доступны из-за несовместимости размера заголовка. Увидеть cryptsetup man-страница для получения дополнительной информации.

Обратите внимание, что загрузчик GNU GRUB пока не поддерживает этот LUKS2 формат. 

Печать без драйверов с помощью CUPS 2.2.10

Debian 10 предоставляет CUPS 2.2.10 и cups-filters 1.21.6. Вместе они дают пользователю все, что необходимо для использования преимуществ печати без драйверов. Основное требование заключается в том, чтобы очередь сетевой печати или принтер предлагали услугу AirPrint. Современный IPP-принтер, скорее всего, будет поддерживать AirPrint; очередь печати Debian CUPS всегда поддерживает AirPrint.

По сути, DNS-SD (Bonjour) трансляции с сервера CUPS, рекламирующего очередь, или с принтеров IPP, могут отображаться в диалоговых окнах печати приложений без каких-либо действий со стороны пользователя. Дополнительным преимуществом является то, что от использования несвободных драйверов печати и плагинов можно отказаться.

Установка по умолчанию cups пакет также устанавливает пакет cups-browsed; очереди печати и принтеры IPP теперь будут автоматически устанавливаться и управляться этой утилитой. Это рекомендуемый способ для пользователя использовать без проблемную и безаварийную печать.

Базовая поддержка для устройств на основе Allwinner A64

Благодаря усилиям сообщества linux-sunxi Debian Buster будет иметь базовую поддержку для многих устройств на базе Allwinner A64 SoC. Это включает FriendlyARM NanoPi A64; Olimex A64-OLinuXino и TERES-A64; PINE64 PINE A64 / A64 / A64-LTS, SOPINE и Pinebook; SINOVOIP Banana Pi BPI-M64; и Xunlong Orange Pi Win (плюс).

Основные функции этих устройств (например, последовательная консоль, Ethernet, USB-порты и основной видеовыход) должны работать с ядром от Buster. Более продвинутые функции (например, аудио и ускоренное видео) включены или запланированы для включения в более поздние ядра, которые будут доступны, как обычно, через архив бэкпортов. Смотрите также страницу статуса для основного усилия.