Tartalom
- Bevezető
- Életciklus
- Architektúrák
- Csomagarchívum
- Telepítő
- Alaprendszer
- Szoftvercsomagok
- Biztonság
- Egyéb működésbeli változások
- Asztalkörnyezetek
- A Debian frissítése
- Konklúzió
Bevezető
A Debian 12 (Bookworm) 2023. június 10-én került kiadásra, amely most is számos újdonságot tartalmaz. Ebben a cikkben átnézzük ezeket, és hogy mivel tud többet a Debian legújabb kiadása.
Ezt a leírást is tekinthetjük egyfajta mérföldkőnek is, innentől már aktívan foglalkozunk a Debian 12 (Bookworm) változatával is, tehát apránként fogunk készíteni különböző (LAMP és tökéletes) szervereket a Debian ezen kiadásával is.
Életciklus
A Debian Security Team-nak és a Debian Long Term Support-nak köszönhetően a Debian 12 (Bookworm) a kiadásától számított 5 éven át kap még támogatást. A Debian kiadásainak életciklusairól itt tájékozódhatunk.
Architektúrák
A Debian 12 (Bookworm) hivatalosan támogatott architektúrái:
- 32-bit PC (i386)
- 64-bit PC (amd64)
- 64-bit ARM (arm64)
- ARM EABI (armel)
- ARMv7 (EABI hard-float ABI, armhf)
- little-endian MIPS (mipsel)
- 64-bit little-endian MIPS (mips64el)
- 64-bit little-endian PowerPC (ppc64el)
- IBM System z (s390x)
Csomagarchívum
A Debian 12 archívum területeiben történt az alábbi strukturális változások történtek:
A Debian a rendszerében a csomagokat eddig három fő területre (archive areas) osztotta, amelyek a következők:
- main: Ez a Debian fő disztribúciója, amely csak azokat a szoftvereket tartalmazza, amelyek teljes mértékben megfelelnek a Debian Szabad Szoftver Irányelveinek (DFSG). Ezek a csomagok szabadon használhatóak, módosíthatóak és terjeszthetőek.
- contrib: Kiegészítő csomagok, amelyek a Debian disztribúcióval együtt működnek, de szoftvert igényelnek a disztribúción kívülről ahhoz, hogy összeállíthatóak (build) vagy működőképesek legyenek.
- non-free: Ezek is kiegészítő csomagok, amik a Debian disztribúcióval működnek, de nem felelnek meg a DFSG-nek, vagy más okok miatt problémás a terjesztésük.
A Debian 2022-es Általános Határozata a nem szabad firmware-ről szóló 5. pontja kiterjesztette a Szociális Szerződést a következő mondat hozzáadásával:
"A Debian hivatalos médiái tartalmazhatnak olyan firmware-t, amely egyébként nem része a Debian rendszernek, hogy lehetővé tegye a Debian használatát olyan hardverekkel, amelyek ilyen firmware-t igényelnek."
Ez a kiegészítés azt jelenti, hogy a Debian hivatalos telepítői képei tartalmazhatnak olyan firmware-t, amely szükséges bizonyos hardverek működéséhez, még akkor is, ha ezek a firmware-ek nem részei a Debian szabványos rendszerének.
A változás tehát az, hogy a Debian 12 kiadásában bevezettek egy új területet:
- non-free-firmware: Az archívum lehetővé teszi a nem szabad firmware-ek elkülönítését a többi non-free csomagtól. A legtöbb nem szabad firmware csomagot áthelyezték a non-free területről a non-free-firmware területre. Ez a tiszta szétválasztás lehetővé teszi, hogy olyan hivatalos telepítő képeket készítsenek, amelyek tartalmazzák a main és a non-free-firmware csomagokat, de nem tartalmazzák a contrib és a non-free csomagokat. Ennek következtében lehetőség nyílik olyan rendszerek telepítésére, amelyek csak a main és a non-free-firmware területekről származó csomagokat tartalmazzák, a contrib vagy a non-free csomagok nélkül.
Ez a változás előnyös a felhasználók számára, mivel lehetővé teszi a Debian telepítését olyan hardvereken is, amelyek speciális firmware-t igényelnek, miközben fenntartja a szabad szoftver iránti elkötelezettségét de megkönnyíti a csomagok kezelését.
Telepítő
A Debian 12 Bookworm normál módú telepítéséhez számos letölthető telepítőcsomag közül választhatunk, például: Blu-ray Disc, DVD, CD, USB stick, vagy hálózati kapcsolaton keresztül. További részletekért tekintsük meg a Telepítési útmutatót.
A Debian immár 78 nyelven telepíthető, amelyek többsége szöveges és grafikus felhasználói felületen is elérhető.
Live telepítőkészlet
Ha egyszerűen csak ki szeretnénk próbálni a Debian 12 Bookworm rendszert telepítés nélkül, használhatjuk valamelyik live képfájlt, amely csak a számítógépünk memóriájába került betöltésre, és úgy tölti be és futtatja a teljes operációs rendszert, hogy a meglévő rendszerünkben nem történik semmilyen változtatás.
Ezeket az élő képeket az amd64 és i386 architektúrákhoz biztosítják, és elérhetők DVD-kre, USB-meghajtókra és netboot telepítésekhez. A felhasználó különböző asztali környezetek közül választhat a kipróbáláshoz: GNOME, KDE Plasma, LXDE, LXQt, MATE és XFCE. A Debian Live Bookworm szabványos live telepítőcsomaggal rendelkezik, így lehetőség van egy grafikus asztalkörnyezet nélküli alaprendszer kipróbálására is.
Amennyiben tetszik az operációs rendszer, lehetőségünk van arra, hogy az elindított Live rendszerről telepítsük a számítógép merevlemezére. Az ilyen módon történő telepítéskor a Calamares független telepítő kényelmes grafikus felülete kísér végig bennünket a telepítési folyamaton.
Alaprendszer
A Debian 12 alaprendszerében is változott sokminden, lássuk mik ezek.
Kernel
A Debian 12 Bookworm a Linux kernel 6.1 verziójával, a jelenlegi LTS (Long Term Support) kiadással érkezett. A kernel sok új funkciót és fejlesztést tartalmaz, melyek célja a Linux rendszer biztonságának és teljesítményének fokozása.
Az Intel Software Guard Extensions (SGX 1/2) rendszereinek támogatása lehetővé teszi az alkalmazások számára, hogy adatokat írjanak biztonságos, hardvervédett enklávékba. Ideális érzékeny adatok, például titkosítási vagy engedélyezési kulcsok tárolására. Ennek a technológiának egy különösen érdekes felhasználási módja a virtuális gépek memóriaterületének titkosítása, hogy megakadályozzák, hogy más rendszerfolyamatok vagy virtuális gépek olvassák a tartalmat. További információért tekintsük meg az Intel SGX oldalát.
Az AMD Secure Encryption Virtualization (SEV) rendszerével kapcsolatos fejlesztések támogatják a virtualizált vendégregiszterek titkosítását, így azokat a gazdagép (vagy más vendég) nem tudja elolvasni. További információkért tekintsük meg az AMD SEV oldalát.
Biztonságos virtualizáció az AMD és az Intel új CPU-támogatásával, amely megvédi a vendég virtuális gépeket a hypervisor-alapú támadásoktól. Az AMD Secure Nested Paging (SEV-SNP) a memória integritásának védelmét, az Intel Trust Domain Extensions (TDX) pedig a memória integritását és titkosítását egyaránt biztosítja.
Indirekt Branch Tracking az Intel legújabb CPU-in. Az Indirect Branch Tracking (IBT) egy új Control-Flow Enforcement Technology (CET) módszer, amely hardver alapú védelmet biztosít az ugrás-/hívásorientált programozási (JOP / COP) támadások ellen.
Új Kernel Concurrency Sanitizer (KCSAN) az adatversenyek észleléséhez a fordítási idejű memóriaelérési rendszerekkel, amelyeket a GCC és a Clang is támogat. További részletekért tekintsük meg a kernel.org dokumentációt.
Az új Landlock Linux biztonsági modul lehetővé teszi a folyamatok sandbox-kezelését azáltal, hogy lehetővé teszi a folyamatok számára, hogy a rendszerszinten beállított korlátozásokon felül további korlátozásokat állítsanak be. További információkért tekintsük meg a Landlock Linux Kernel dokumentációját.
Összevonták a Google fscrypt projektjét a hardveresen gyorsított teljes lemeztitkosításra f2fs és ext4 fájlrendszereken.
A CIFS fájlrendszer modul már nem támogatja az SMBv1 által használt gyenge LANMAN és NTLM protokollokat.
Az NTFS-támogatás immár be van építve, így nincs szükség harmadik féltől származó NTFS-illesztőprogramokra.
APT
A Debian legújabb kiadásában bevezetett újítások között szerepel az APT csomagkezelő frissítése, amely most a 2.6-os verzióra változott. Az apt 2.6 kifejezetten a Debian ezen kiadásában bevezetett új, nem szabad (non-free) ISO-képfájl-támogatás kezelésére lett tervezve.
Ezekkel a változtatásokkal a nem ingyenes firmware (non-free-firmware) alapértelmezés szerint engedélyezve lesz, ami gördülékenyebb működést biztosít azoknak a felhasználóknak, akiknek saját firmware-re van szükségük bizonyos hardverekhez.
Ezenkívül ez a csomagkezelő mostantól minden non-free csomaghoz frissítéseket fog kínálni, ezzel leegyszerűsítve a felhasználók tájékoztatását az ezen összetevőkkel kapcsolatos legújabb fejlesztésekről. Ezek a fejlesztések tovább javították a felhasználói élményt, és jobb támogatást nyújtottak a Debian 12 összes non-free csomagjához és firmware-éhez.
Szoftvercsomagok
Csomagstatisztikák
A Debian 12. kiadása ismét sokkal több új szoftverrel érkezett, mint elődje:
- Új csomagok: A Debian új kiadása több mint 11089 új csomagot tartalmaz. Ez azt jelenti, hogy a korábbi kiadáshoz képest ezek a csomagok most először kerültek be a Debian disztribúcióba.
- Összes csomag: Az új kiadásban összesen több mint 64419 csomag található. Ez a szám magában foglalja az új csomagokat, valamint azokat a csomagokat is, amelyek már korábban részei voltak a disztribúciónak.
- Frissített szoftverek: A disztribúcióban lévő szoftverek jelentős része, több mint 43254 csomag (ami az összes csomag 67%-a) frissítésen esett át. Ez azt jelenti, hogy ezek a csomagok újabb verzióra lettek frissítve.
- Eltávolított csomagok: Körülbelül 6296 csomagot (a bullseye kiadásban lévő csomagok 10%-át) különböző okokból eltávolítottak a disztribúcióból. Ezek a csomagok már nem kapnak frissítéseket, és a csomagkezelő felületeken "elavultnak" ("obsolete") lesznek jelölve.
Az elavult csomagok olyan szoftverek, amelyeket már nem tartanak karban, és ezért eltávolították őket a legújabb Debian kiadásból. Ezek a csomagok már nem kapnak frissítéseket, és a csomagkezelők felhasználói felületén külön jelzés fogja mutatni, hogy ezek a csomagok már nem részei az aktuális disztribúciónak.
Néhány példa a frissített csomagokra
A Debian 12-ben a csomagok 67%-a frissült, néhány gyakran használt csomagot kiemelünk itt:
Csomag | Verziója a Debian 11-ben | Verziója a Debian 12-ben |
---|---|---|
Apache | 2.4.54 | 2.4.57 |
APT | 2.2 | 2.6 |
Bash | 5.1 | 5.2.15 |
BIND 9 (DNS Server) | 9.16 | 9.18 |
Cryptsetup | 2.3 | 2.6 |
Emacs | 27.1 | 28.2 |
Exim default e-mail server | 4.94 | 4.96 |
GNU Compiler Collection as default compiler | 10.2 | 12.2 |
GIMP | 2.10.22 | 2.10.34 |
Git | 2.30 | 2.39 |
GnuPG | 2.2.27 | 2.2.40 |
Inkscape | 1.0.2 | 1.2.2 |
the GNU C library | 2.31 | 2.36 |
Linux kernel image | 5.10 series | 6.1 series |
LLVM/Clang toolchain | 9.0.1 and 11.0.1 (default) and 13.0.1 | 13.0.1 and 14.0 (default) and 15.0.6 |
MariaDB | 10.5 | 10.11 |
GNU Nano | 5.4 | 7.2 |
Nginx | 1.18 | 1.22 |
OpenJDK | 11 | 17 |
OpenLDAP | 2.4.57 | 2.5.13 |
OpenSSH | 8.4p1 | 9.2p1 |
OpenSSL | 1.1.1n | 3.0.8 |
Perl | 5.32 | 5.36 |
PHP | 7.4 | 8.2 |
phpMyAdmin | 5.0 | 5.2 |
Postfix (MTA) | 3.5 | 3.7 |
PostgreSQL | 13 | 15 |
Python 3 | 3.9.2 | 3.11.2 |
Rustc | 1.48 | 1.63 |
Samba | 4.13 | 4.17 |
Sudo | 1.9.5 | 1.9.13 |
Systemd | 247 | 252 |
Vim | 8.2 | 9.0 |
Man oldal fordítások
Köszönhetően a Debian fordítóinak, mostantól több nyelven érhetőek el a man-oldalak formátumú dokumentációk, mint valaha. Például sok man-oldal most már elérhető cseh, dán, görög, finn, indonéz, macedón, norvég (Bokmål), orosz, szerb, svéd, ukrán és vietnami nyelven, és az összes systemd man-oldal most már németül is elérhető.
Annak biztosítása érdekében, hogy a man parancs a dokumentáció a saját nyelünkön jelenítse meg (ahol lehetséges), telepítsük a megfelelő manpages-lang csomagot, és győződünk meg róla, hogy a helyi beállításaink helyesen vannak konfigurálva a
dpkg-reconfigure locales
paranccsal.
Debian Med csomagok
Mint minden kiadásban, új csomagok kerültek hozzáadásra az orvostudomány és az élettudományok területén. Az új shiny-server csomag külön említést érdemel, mivel leegyszerűsíti az R-t használó tudományos webalkalmazásokat. A Debian folytatja erőfeszítéseit, hogy, hogy folyamatos integrációs támogatást biztosítsanak a Debian Med csapat által karbantartott csomagokhoz.
A Debian Med csapata mindig érdeklődik a felhasználók visszajelzései iránt, különösen a még be nem csomagolt ingyenes szoftverek csomagolására, vagy az új csomagokból vagy a tesztelés alatt lévő magasabb verziókból származó backportokra vonatkozó kérések formájában.
A Debian Med csapata által karbantartott csomagok telepítéséhez telepítsük a med-* nevű metacsomagokat, amelyek a Debian bookworm számára készült 3.8.x verzióban találhatók. Nyugodtan látogassuk meg a Debian Med feladatok oldalait, ahol megtekinthetők a Debianban elérhető biológiai és orvosi szoftverek teljes skálája.
Biztonság
A Debian 12 Bookworm kiadás számos biztonsági javításon esett át, lássunk ezek közül néhány fontosabbat.
OpenSSH
A Debian 12 egyik legjelentősebb, a felhasználókat érintő változása az OpenSSH frissítése a 8.4-es verzióról a 9.2-es kiadásra.
Ez a 8.4-ről történő frissítés számos biztonsági fejlesztést hozott magával, amelyek célja a kommunikációs csatornák megerősítése, a régebbi, kevésbé biztonságos protokollok eltávolítása és a rendszer általános biztonságának növelése. Nézzünk meg néhányat közülük:
Erősebb alapértelmezett kulcscserélő módszer és első kulcspreferencia beállítások
Az OpenSSH 9.2 a kulcscserék esetén erősebb, biztonságosabb módszereket alkalmaz alapértelmezés szerint. Ez növeli a titkosítási folyamat biztonságát, csökkentve ezzel a lehetséges biztonsági rések kockázatát.
Az "első kulcspreferencia" beállítások pedig azt jelentik, hogy a rendszer milyen sorrendben preferálja a különböző kulcscserélő algoritmusokat, amikor kapcsolatot létesít egy másik számítógéppel. Ez lehetővé teszi a felhasználók és rendszergazdák számára, hogy előnyben részesítsék a legbiztonságosabb módszereket, ezzel növelve a kapcsolatok biztonságát.
SCP parancs modernizálása
Az OpenSSH 9.0 verziójában (2022-04-08) az scp parancsban átállításra került, hogy alapértelmezés szerint a SFTP (SSH File Transfer Protocol) protokollt használja a régi SCP/RCP protokoll helyett. Ez a lépés modernizálja az SCP-t, javítja a biztonságot és kiküszöböli bizonyos régi sebezhetőségeket.
Hogyan érinti ez a felhasználókat?
- Joker karakterek (wildcards) kezelése: A régi scp/rcp protokoll a távoli fájlnévben lévő joker karaktereket (pl. '*') a távoli shellben bontotta ki, ami miatt szükség volt a shell meta-karakterek dupla idézőjeles kezelésére az SCP parancssoron. Az SFTP protokoll használatával ez már nem szükséges, ami egyszerűsíti a használatot.
- Fájlnév idézési szabályok változása: Mivel az SFTP protokoll nem igényli a meta-karakterek dupla idézőjeles kezelését, a korábban ilyen módon idézett fájlnévvel ellátott parancsok hibásak lehetnek az új verzióban.
- Távoli elérési utak kezelése: A régi scp/rcp protokoll támogatta a távoli felhasználók home könyvtárához való relatív útvonalakat, például:
scp host:~user/file /tmp
- Visszatérés a régi protokollra: Amennyiben a felhasználók kompatibilitási problémákkal találkoznak, az SCP kliens utasítható a régi scp/rcp protokoll használatára az -O kapcsoló segítségével.
Összefoglalva, az OpenSSH 9.0 frissítése modernizálta az scp parancsot az SFTP protokoll alapértelmezett használatával, miközben lehetőséget biztosít a régi protokoll használatára is, ha szükséges. Ez a változás javítja a biztonságot és egyszerűsíti a felhasználói élményt, miközben támogatja a régebbi használati eseteket is.
Biztonságosabb sshd (SSH Daemon) végrehajtás
Az sshd, az SSH szerver oldali komponense, további biztonsági javításokon esett át, hogy még megbízhatóbb legyen.
Alapértelmezett ED25519 digitális aláírás használata
Az OpenSSH újabb verziói már az új ED25519 digitális aláírásokat használják alapértelmezés szerint a korábban használt ECDSA helyett. Emellett a Streamlined NTRU Prime + x25519 kulcscserélő módszereket alkalmazza, amelyek kevésbé sebezhetőek a jövőbeli kvantumszámítógépes támadásokkal szemben. Ez az új kulcscserélő módszer tartalmaz egy fallback-et a korábbi OpenSSH kiadásokban bevezetett, jól tesztelt x25519 alapértelmezésre.
A gyakorlatban ez annyi változást jelent, hogy ha egy frissen telepített Debian 12-es rendszerre egy régebbi rendszerről szeretnénk belépni SSH kapcsolaton keresztül nyilvános kulccsal, akkor a kulcspárt az alábbi módon hozzuk létre az ssh-keygen parancs segítségével a kliens számítógépen:
ssh-keygen -t ed25519
Így régebbi rendszerünkön is előállíthatunk ed25519 típusú kulcsokat.
OpenSSH 9.2 újdonságok
Mivel az OpenSSH elengedhetetlen kelléke a mindennapi szerveren történő munkáknak, ezért érdemes még néhány szót ejteni a disztribúcióban lévő legfrissebb 9.2-es változat újdonságairól is.
sshd(8): Új ChannelTimeout direktíva
Az új "ChannelTimeout" direktíva a sshd_config-ban lehetővé teszi, hogy automatikusan lezárjuk azokat a csatornákat, amelyeken bizonyos időintervallumon belül nem történt adatforgalom. Különböző időkorlátok alkalmazhatóak a munkamenet (session), X11, agent és TCP továbbító csatornákra.
sshd(8): Új UnusedConnectionTimeout direktíva
A direktíva az ügyfélkapcsolatok megszakítására szolgál, ha egy adott időtartam alatt nincsenek nyitott csatornái. Kiegészíti a ChannelTimeout opciót, mivel ez a teljes kapcsolatra vonatkozik, nem csak az egyes csatornákra.
scp(1), sftp(1): Új -X Opció
Lehetővé teszi az SFTP protokoll bizonyos paramétereinek szabályozását mind az scp, mind az sftp esetében. A másolási puffer hossza és a függőben lévő kérések száma szabályozható, amit korábban csak az sftp-ben lehetett. Ez a funkció mostantól az SFTP protokoll mindkét kliensében elérhető ugyanazzal az opciós karakterlánccal.
ssh-keyscan(1): Teljes CIDR Címtartományok Beolvasása
Lehetővé teszi teljes CIDR címtartományok beolvasását. Például:
ssh-keyscan 192.168.0.0/24
A CIDR tartományok minden lehetséges címre kibővülnek a tartományban, beleértve az összes nulla és az összes egyes címeket is.
ssh(1): Dinamikus távoli port továbbítás támogatása az escape parancssori -R feldolgozásban
Támogatja a dinamikus távoli port továbbítást az escape parancssori -R opció feldolgozása során. Ez a módszer különösen hasznos lehet olyan helyzetekben, ahol egy felhasználónak biztonságosan kell kapcsolódnia belső hálózati erőforrásokhoz, például amikor távolról dolgozik, vagy amikor egy biztonságos kapcsolaton keresztül szeretné elérni a cenzúrázott vagy korlátozott tartalmakat.
OpenSSL
Az OpenSSL egy nyílt forráskódú szoftverkönyvtár, amely különféle titkosítási protokollokat és kriptográfiai algoritmusokat kínál. Az OpenSSL 3 verziója jelentős fejlesztéseket és új funkciókat tartalmaz, amelyek közül megemlítünk párat.
Beépített FIPS 140-2 modul
Az OpenSSL 3 egyik legizgalmasabb újítása a beépített, validált FIPS 140-2 modul. A FIPS (Federal Information Processing Standards) 140-2 egy amerikai kormányzati szabvány, amely a titkosítási modulok biztonsági követelményeit határozza meg. Az előző FIPS implementáció nem volt közvetlenül beépítve az OpenSSL kódbázisába és csak az már nem támogatott OpenSSL 1.0.2 verzióval működött.
Linux kernel kriptográfiai API-jainak használata
Az OpenSSL 3 bizonyos TLS (Transport Layer Security) műveleteihez a Linux kernel kriptográfiai API-jait használja. Ez javítja a teljesítményt és lehetővé teszi a hardveres gyorsítókártyák használatát. Ez a jövőben érdekes lehet a TLS munka webkiszolgálókról vagy terheléselosztókról történő kiszervezésének szempontjából.
Új Támogatott Algoritmusok
- KDF (Key Derivation Function) algoritmusok: Egyfázisú (SINGLE STEP) és SSH.
- MAC (Message Authentication Code) algoritmusok: GMAC és KMAC.
- KEM (Key Encapsulation Mechanism) algoritmus: RSASVE és a Cipher Algorithm AES-SIV.
- Új sémák támogatása a PKCS#7 és PKCS#12 számára.
- Új PKCS aláírás-ellenőrzési algoritmus támogatás.
Sudo
A sudo is kapott sok biztonsági javítást az 1.9.5-ről 1.9.13 verzióra történő váltás során, nézzünk ezekből is néhányat.
Parancsok elfogása funkció
A sudo 1.9.8 verziójában került be egy olyan funkció amely lehetővé teszi a felhasználók számára, hogy meghatározott alparancsokat (subcommands) blokkoljanak vagy megakadályozzanak, amikor azokat a sudo által engedélyezett parancsokon keresztül hívják meg. Ez a funkció kiegészíti a korábban bevezetett log_subcmds opciót, amely lehetővé teszi az összes alparancs naplózását.
Hogyan működik?
Az "intercept" opció engedélyezése után meghatározhatók azok a parancsok, amelyek futtatását meg szeretnénk akadályozni. Ha például be van állítva, hogy a /usr/bin/bash parancsot elfogja a rendszer, akkor csak a Bash shellre vonatkozó korlátozások érvényesülnek, és más shell-ek vagy parancsok futtatása nem lesz akadályozva.
Egy példában, ha a sudoers fájlban megtiltják a czanik felhasználónak a /usr/bin/who parancs futtatását, akkor amikor a felhasználó megpróbálja futtatni ezt a parancsot, a rendszer megtagadja a végrehajtást.
Ez a funkció lehetővé teszi például, hogy a rendszergazdák megakadályozzák a shell-ek futtatását, így a felhasználók nem indíthatnak interaktív munkameneteket. A beállítás azonban nem csak a shell-ekre vonatkozik, hanem gyakorlatilag minden egyéb alkalmazásra is, amelyek a shell-en keresztül hajtanak végre parancsokat. Például, ha a sudo úgy van konfigurálva, hogy megakadályozza a shell-ek hozzáférését, akkor egy szerkesztőből (pl. vi) sem lehet parancsokat futtatni.
Összefoglalva, a sudo "intercept" funkciója nagyobb ellenőrzést és biztonságot nyújt a rendszergazdáknak azáltal, hogy finomhangolhatják, mely alparancsok futtatását engedélyezik vagy tiltják meg a sudo által. Ez különösen hasznos biztonsági szempontból, amikor kritikus szempont a hozzáférések finomabb testreszabhatósága.
Parancsok elfogásának naplózása funkció
Szintén a sudo 1.9.8 verziójában került bevezetésre a "log_subcmds", ami egy új naplózási funkció, amely lehetővé teszi, hogy a sudo-n keresztül futtatott alkalmazások által indított minden egyes alparancs (sub-command) naplózásra kerüljön. Ez a funkció különösen hasznos lehet a rendszergazdák számára azért, hogy pontosabban láthassák, milyen műveleteket végeznek a felhasználók a sudo-n keresztül.
Hogyan működik?
Ha egy felhasználó egy szerkesztőt, például a joe-t indítja sudo-n keresztül, és ezen belül futtat egy shellt, a "log_subcmds" funkció lehetővé teszi, hogy a rendszergazda megnézze, milyen parancsokat indítottak el az alkalmazáson belül. Ezáltal a rendszergazda nem csak azt látja, hogy a felhasználó elindított egy szerkesztőt sudo-n keresztül, hanem azt is, hogy milyen további parancsokat futtatott ezen belül. A funkció hasznos lehet olyan esetekben, ahol biztonsági okokból szeretnénk nyomon követni, hogy a felhasználók milyen műveleteket végeznek a sudo jogosultságokkal.
Erről részletesebben a sudo oldalán tájékozódhatunk.
Számos további funkcióval bővült a sudo parancs, ezekről a sudo oldalán tájékozódhatunk.
Systemd
A Debian 11-ben lévő systemd a 247-es verzióról a Debian 12-ben a 251-es változatra frissült, amely számos olyan változtatással gazdagodott, ami a szolgáltatásokat teszi biztonságosabbá. Ime néhány ezek közül:
- Korlátozott fájlrendszeri és hálózati hozzáférés: Új systemd rendszeregység-konfigurációs lehetőségek engedélyezik a felhasználók számára a szolgáltatások fájlrendszeri és hálózati hozzáférésének korlátozását. Ez különösen hasznos lehet a támadási felület csökkentésében, ha egy szolgáltatást kompromittálnak.
- Titkosított hitelesítő adatok: A szolgáltatások indításakor használt hitelesítő adatok mostantól titkosíthatók és tárolhatók helyben, vagy TPM2 chipekben tárolhatók a systemd-creds parancs segítségével. Ezek a hitelesítő adatok a szolgáltatás indításakor visszafejtődnek, így már nem szükségesek a konfigurációs fájlokban tárolni őket, amelyeket a felhasználók olvashatnak.
- A LUKS2 kötet- és partíciótámogatás számos fejlesztése, beleértve a LUKS2 kötetek feloldásának lehetőségét TPM2 hardver vagy FIDO2 hardver használatával, valamint egy új segédprogram, a systemd-cryptenroll a tokenek LUKS köteteken történő regisztrálásához.
- Biztonságos felhasználói adatok: A rendszert több felhasználóval megosztó felhasználók számára a systemd-homed továbbfejlesztésre került, hogy a felhasználói adatok biztonságban legyenek a munkamenetek között. A systemd-homed most ismételten megpróbálja lecsatolni a felhasználó home könyvtárát kijelentkezéskor, hogy megakadályozza, hogy a következő felhasználó hozzáférjen az érzékeny adatokhoz.
- A Systemd-resolved továbbra is használja a DNS-t TLS-n keresztül, még akkor is, ha újraindították, és többé nem fog meghibásodni, ha a névszerver ismeretlen protokollt használ.
- A Networkd mostantól támogatja az értékek átadását a Kernel netlabel moduljainak egy új `NetLabel=` konfigurációs opción keresztül.
- A virtuális gép rendszerindítási konfigurációs adatai mostantól cloud-init szükségessége nélkül is átadhatók a systemd-nek a DMI 11. típusú mező használatával.
- A Resolvectl mostantól információkat tartalmaz arról, hogy egy gazdagép honnan lett feloldva, és hogy a kommunikáció titkosítva volt-e.
Egyéb működésbeli változások
Itt áttekintünk még egy-két egyéb változtatást a Debian korábbi kiadásához képest.
Pipewire audio szerver
A Debian 12 kiadása nagyszerű hír a Pipewire rajongóknak, mivel a Debian ezen verzióban a Pipewire az alapértelmezett hangszerver a rendszerekben. A Pipewire célja, hogy jelentősen javítsa az audio és videó kezelését a Linux rendszerekben. A Pipewire leváltja a PulseAudio-t, amely a POSIX rendszerek, például a Linux alapértelmezett audiokiszolgálója volt.
Mi az a Pipewire?
A Pipewire egy modern médiakezelő keretrendszer, amely a Linux audio és videó rendszerek egységesítésére és modernizálására törekszik. Az audio és videó stream-ek kezelését teszi lehetővé alacsony késleltetéssel és magas minőségben, különös figyelmet fordítva a felhasználói élményre. Továbbá a Pipewire támogatja a többfelhasználós audio kezelést és a hangszerver közötti egyszerűbb kapcsolatot.
Windows 11 jobb észlelése dual boot módban
A Debian 12-ben javításra került a Windows 11 operációs rendszer felismerése dual-boot módban. Ez biztosítja a simább interakciót a két operációs rendszer között, lehetővé téve a felhasználók számára, hogy zökkenőmentesen váltsanak közöttük.
Cinnamon asztalkörnyezet képernyőolvasó támogatása
A Debian 12-ben most már elérhető a képernyőolvasó támogatás a Cinnamon asztalkörnyezetben. Ez az újítás barátságosabbá teszi az asztali környezetet a látássérült felhasználók számára, javítva a navigációt és az interakciót a kezelőfelülettel.
Beszédszintézis továbbfejlesztése
A beszédszintézis és a szövegfelolvasási funkciók a Debian akadálymentességének alapvető kellékei; a Debian 12-ben azonban ezt a képességet továbbfejlesztették, melynek köszönhetően a szövegfelolvasás 30 másodperces késleltetéssel automatikusan aktiválódik. Ez annyit jelent, hogy ha 30 másodpercig nem történik interakció, akkor a funkció működésbe lép. Ez továbbfejleszti az akadálymentességi funkciókat a látássérültek számára.
Multipath eszközök könnyebb felismerése
A Debian 12 javítja a multipath eszközök felismerését és kezelését, ami azt jelenti, hogy a rendszer könnyebben azonosítja és automatikusan konfigurálja a több útvonalon keresztül csatlakoztatott tárolóeszközöket. A multipath eszközök használatával növelhető a rendszer redundanciája és biztonsága. Ez különösen fontos nagy adatközpontokban és vállalati környezetekben, ahol a folyamatos adathozzáférés és a rendszer rendelkezésre állása kritikus szempont. A multipath eszközök könnyebb felismerése jelentős előrelépést jelent a tárolóeszközök redundáns és megbízható kezelésében, amely különösen fontos nagy adatmennyiségű és magas rendelkezésre állást igénylő környezetekben.
Több kezdeti ramdisk útvonal támogatása
Az "initial ramdisk" vagy "initrd" egy ideiglenes fájlrendszer, amelyet a Linux rendszerindítás során használnak az operációs rendszer kernelje előtt. Ez a fájlrendszer tartalmazza azokat a meghajtóprogramokat és eszközöket, amelyekre a rendszernek szüksége van a bootolás során, hogy elérje a tényleges root fájlrendszert a merevlemezen vagy más tárolóeszközön.
A Debian 12 lehetővé teszi, hogy a rendszergazdák több különböző initrd képet specifikáljanak, mindegyiket más és más célra. Ez nagyobb rugalmasságot biztosít a bootolási folyamat konfigurálásában, lehetővé téve például különböző hardver konfigurációk vagy rendszerindítási forgatókönyvek számára külön initrd képek használatát.
A Debian 12 több initrd útvonal támogatása tehát lényeges fejlesztés a rendszerindítási folyamatok tekintetében. Ez a funkcionalitás különösen hasznos az olyan rendszerekben, ahol a boot folyamatnak különböző körülményekhez kell alkalmazkodnia, vagy ahol a rendszerindítás testre szabhatósága kulcsfontosságú.
Asztalkörnyezetek
A Debian 12 az alábbi asztalkörnyezetekkel kerül szállításra:
- Gnome 43
- KDE Plasma 5.27
- LXDE 11
- LXQt 1.2.0
- MATE 1.26
- Xfce 4.18
Természetesen más asztalkörnyezetek is telepíthetők, ezek csak a hivatalos telepítőkészlet részét képező asztalkörnyezetek.
A Debian frissítése
A Debian 12 Bookworm-ra való frissítés a korábbi kiadásról, a Debian 11 Bullseye-ról, a legtöbb konfiguráció esetén automatikusan kezelhető az APT csomagkezelő eszköz segítségével.
Mielőtt frissítenénk a rendszerünket, erősen ajánlott, hogy készítsünk teljes biztonsági mentést, vagy legalább mentsük el azokat az adatokat vagy konfigurációs fájlokat, amelyek elvesztését nem engedhetjük meg magunknak. A frissítési eszközök és folyamatok meglehetősen megbízhatóak, de egy hardverhiba a frissítés közben súlyosan károsíthatja a rendszert. A biztonsági mentés során a legfontosabbak a /etc, /var/lib/dpkg könyvtárak, a /var/lib/apt/extended_states fájl tartalmának és a következő parancs kimenetének a mentése:
dpkg --get-selections '*'
A Debian üdvözli a felhasználóktól érkező információkat a Bullseye-ról Bookworm-ra történő frissítéssel kapcsolatban. A frissítési tapasztalatokat, információkat megoszthatjuk a Debian hibakövető rendszerében a frissítési jelentések csomagjával kapcsolatban beküldött hibajelentéssel.
Rengeteg fejlesztés történt a Debian telepítővel kapcsolatban, ami javított hardver támogatást és egyéb funkciókat eredményezett, mint például az UTM grafikus támogatásának javítása, a GRUB betűkészlet-betöltő javítása, a telepítési folyamat végén a hosszú várakozás megszüntetése, valamint a BIOS-indító rendszerek észlelése. A Debian telepítő ezen verziója szükség esetén engedélyezheti a "non-free-firmware" csomagarchívum területet is.
Az ntp csomagot lecserélték az ntpsec csomagra, az alapértelmezett rendszeróra szolgáltatás mostantól systemd-timesyncd; a chrony és az openntpd is támogatott.
Mivel a non-free firmware átkerült a saját összetevőjébe az archívumban (non-free-firmware), ha nem ingyenes firmware-t telepítettünk, akkor javasolt a "non-free-firmware" hozzáadása az APT forráslistához.
A frissítés előtt tanácsos eltávolítani a "bullseye-backports" bejegyzéseket az APT forráslista fájljaiból; a frissítés után fontoljuk meg a "bookworm-backports" hozzáadását, amennyiben szükséges.
A Debian 12 Bookworm esetében a biztonsági frissítések tárolója "bookworm-security" néven van megjelölve. A felhasználóknak ennek megfelelően kell módosítaniuk az APT forráslista fájljaikat a frissítés során a korábbi "bullseye-security" elnevezések helyett. Ha az APT konfigurációja tartalmaz "pinninget" vagy az APT::Default-Release beállítást, akkor ezeket a beállításokat is frissíteni kell a Debian 12-re való áttéréshez.
A frissítés során előfordulhat, hogy bizonyos csomagok között konfliktusok vagy előzetes függőségek (Pre-Depends) hurkok keletkeznek. Ezeket általában a problémás csomagok eltávolításával vagy egyes csomagok újratelepítésével (forcing re-installation) lehet megoldani. Ez azt jelenti, hogy bizonyos csomagok, amelyek nem kompatibilisek az új kiadással, eltávolításra, vagy újratelepítésre kerülnek a frissítési folyamat során.
A "Could not perform immediate configuration ..." típusú hibák esetén a rendszer nem tud azonnal konfigurálni egyes csomagokat a frissítés során. Ebben az esetben javasolt, hogy a /etc/apt/sources.list fájlban megtartsuk a bullseye (az előzőleg eltávolított) és a bookworm (az újonnan hozzáadott) kiadások forrásait egyaránt. Ez lehetővé teszi, hogy az APT kezelje a függőségeket és konfliktusokat a két kiadás között.
A frissítés során előfordulhat, hogy bizonyos csomagok fájljai ütköznek egymással. Ilyenkor szükségessé válhat bizonyos csomagok erőszakos eltávolítása (forcibly remove packages). Ez azt jelenti, hogy manuálisan kell beavatkozni a csomagkezelőbe, hogy eltávolíthassuk azokat a csomagokat, amelyek megakadályozzák a frissítési folyamatot.
Ahogy már fentebb említésre került, a rendszer biztonsági mentése kulcsfontosságú egy disztribúció frissítéshez, és segít megelőzni az esetleges váratlan hibákat. Ez azt jelenti, hogy mielőtt frissítjük a rendszert, készítsünk teljes biztonsági másolatot, hogy ha bármilyen probléma adódik, könnyen visszaállíthassuk a korábbi állapotot.
A disztribúció frissítéssel kapcsolatos további részletekről ezen az oldalon tájékozódhatunk.
Konklúzió
A Debian 12 Bookworm nagyszerű kiadás, amely számos új funkciót és fejlesztést mutatott be. A frissítés magában foglalja a legújabb asztali környezeteket, egy frissített kernelt és frissített csomagokat, gazdag és modern élményt biztosítva a kezdő és haladó Debian felhasználók számára egyaránt.
- A Debian 9 (Stretch) operációs rendszer újdonságai, változásai
- A Debian 10 (Buster) operációs rendszer újdonságai, változásai
- A Debian 11 (Bullseye) operációs rendszer újdonságai, változásai
- debian.org - Releases - Bookworm - amd64 - Release notes
- debian.org - Releases - Bookworm - amd64 - Release notes - What's new in Debian 12
- debian.org - News - Debian 12 bookworm released
- debian.org - Releases - Bookworm - amd64 - Release notes - Chapter 5. Issues to be aware of for bookworm
- debian.org - Releases - Bookworm - Release notes
- launchpad.net - Debian - Bash - Changelog
- blog.mondoo.com - What’s New in Debian 12 Security
- cherryservers.com - Blog - Debian 12 "Bookworm" Release | What's New?
- openssh.com - Release notes
- linuxways.net - debian - What’s new in Debian 12 – Detailed Guide
- A hozzászóláshoz regisztráció és bejelentkezés szükséges
- 415 megtekintés