Исходное сообщение
"Релиз Debian 10 'Buster' " Отправлено opennews, 07-Июл-19 03:49
После двух лет разработки состоялся (https://www.debian.org/News/2019/20190706) релиз Debian GNU/Linux 10.0 (https://www.debian.org/releases/stretch/) (Buster (https://www.debian.org/releases/buster/releasenotes)), доступный для десяти официально поддерживаемых архитектур (https://www.debian.org/ports/): Intel IA-32/x86 (i686), AMD64 / x86-64, ARM EABI (armel), 64-bit ARM (arm64),  ARMv7 (armhf), MIPS (mips, mipsel, mips64el),  PowerPC 64 (ppc64el) и IBM System z (s390x).  Обновления для Debian 10 будут выпускаться в течение 5 лет. В репозитории представлено  57703 бинарных пакетов, что примерно на 6 тысяч больше, чем было предложено в Debian 9. По сравнению с Debian 9 добавлено 13370 новых бинарных пакетов, удалено  7278 (13%)  устаревших или заброшенных пакетов, обновлено   35532 (62%) пакетов. Для 91.5% пакетов обеспечена (https://tests.reproducible-builds.org/debian/buster/index_su...) поддержка повторяемых сборок, позволяющих подтвердить, что исполняемый файл собран именно из заявленных исходных текстов и не содержит посторонних изменений, подстановка которых, например, может быть совершена путём атаки на сборочную инфраструктуру или закладки в компиляторе. Для загрузки (https://get.debian.org/images/) доступны (http://www.debian.org/CD/)  DVD-образы, загрузить которые можно по HTTP (https://www.debian.org/CD/http-ftp/), jigdo (https://www.debian.org/CD/jigdo-cd/#which) или BitTorrent (https://www.debian.org/CD/torrent-cd/). Также сформирован (https://get.debian.org/images/unofficial/non-free/cd-includi.../) неофициальный установочный образ nonfree, включающий в себя проприетарные прошивки. Для архитектур amd64 и i386 разработаны LiveUSB (https://www.debian.org/CD/live/),  доступные в вариантах с GNOME, KDE и Xfce, а также многоархитектурный DVD, сочетающий пакеты для платформы amd64 с дополнительными пакетами для архитектуры i386. Добавлена поддержка загружаемых по сети (netboot) образов для SD-карт и образа, умещающийся на 16 Гб USB Flash; Ключевые (https://wiki.debian.org/NewInBuster) изменения (https://www.debian.org/releases/buster/amd64/release-notes/c...) в Debian 10.0: -  Реализована (https://wiki.debian.org/SecureBoot) поддержка UEFI Secure Boot, для обеспечения работы которой задействован загрузчик Shim, заверенный цифровой подписью от компании Microsoft (shim-signed), в сочетании с заверением ядра и загрузчика grub (grub-efi-amd64-signed) собственным сертификатом проекта (shim выступает как прослойка для использования дистрибутивом собственных ключей). Пакеты shim-signed и grub-efi-ARCH-signed включены в число сборочных зависимостей для amd64, i386 и arm64. Загрузчик и grub, заверенные рабочим сертификатом, включены в состав EFI-образов для amd64, i386 и arm64. Напомним, что изначально поддержка Secure Boot ожидалась в Debian 9, но её не успели стабилизировать до релиза и отложили до следующего значительного выпуска дистрибутива; -  Включена по умолчанию поддержка системы мандатного контроля доступа AppArmor, которая позволяет контролировать полномочия процессов, определяя списки файлов с соответствующими правами (на чтение, запись, отображение в память и запуск, установку блокировки на файл и т.п.) для каждого приложения, а также контролировать доступ к сети (например, запретить использование ICMP) и управлять POSIX capabilities. Основное отличие AppArmor от SELinux состоит в том, что SELinux оперирует ассоциированными с объектом метками, а AppArmor определяет полномочия на основании файлового пути, что заметно упрощает процесс настройки. В основном пакете с AppArmor поставляются профили защиты  лишь для некоторых приложений, а для остальные следует использовать пакет apparmor-profiles-extra или профили из пакетов конкретных приложений; -  Для APT реализован режим sandbox-изоляции, включаемый через опцию APT::Sandbox::Seccomp и обеспечивающий фильтрацию системных вызовов при помощи seccomp-BPF. Для более тонкой настройки белого и чёрного списков системных вызовов можно использовать списки       APT::Sandbox::Seccomp::Trap и APT::Sandbox::Seccomp::Allow;      -  На смену iptables, ip6tables, arptables и ebtables пришёл (https://wiki.debian.org/nftables) пакетный фильтр nftables, который теперь применяется по умолчанию и примечателен унификацией интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов. Nftables предоставляет на уровне ядра лишь общий интерфейс, не зависящий от конкретного протокола и предоставляющий базовые функции извлечения данных из пакетов, выполнения операций с данными и управления потоком. Непосредственно логика фильтрации и специфичные для протоколов обработчики компилируются в байткод в пространстве пользователя, после чего данный байткод загружается в ядро при помощи интерфейса Netlink и выполняется в специальной виртуальной машине, напоминающей BPF (Berkeley Packet Filters). По умолчанию устанавливается пакет iptables-nft, которые предлагает набор утилит для обеспечения совместимости с iptables, имеющих такой же синтаксис командной строки, но транслирующих полученные правила в байткод nf_tables, выполняемый в виртуальной машине. Опционально доступен для установки пакет iptables-legacy, включающий (https://www.opennet.ru/opennews/art.shtml?num=48814) старую реализацию на основе  x_tables. Исполняемые файлы iptables  теперь устанавливаются в /usr/sbin, а не в /sbin (для совместимости создаются символические ссылки); -  Ядро Linux обновлено до версии 4.19; -  Рабочий стол GNOME по умолчанию переведён на использование Wayland, а сеанс на базе X-сервера предложен в виде опции (X-сервер по-прежнему входит в число пакетов, входящих в базовую поставку). Обновлён графический стек и пользовательские окружения: GNOME 3.30 (https://www.opennet.ru/opennews/art.shtml?num=50405), KDE Plasma 5.14 (https://www.opennet.ru/opennews/art.shtml?num=49415), Cinnamon 3.8, LXDE 0.99.2, LXQt 0.14 (https://www.opennet.ru/opennews/art.shtml?num=50030), MATE 1.20 (https://www.opennet.ru/opennews/art.shtml?num=48032), и Xfce 4.12. Офисные пакет  LibreOffice обновлён до выпуска 6.1 (https://www.opennet.ru/opennews/art.shtml?num=49044), а Calligra до выпуска 3.1 (https://www.opennet.ru/opennews/art.shtml?num=48006). Обновлены  Evolution 3.30, GIMP 2.10.8, Inkscape 0.92.4,  Vim 8.1; -  В состав дистрибутива включён компилятор для языка Rust (поставляется Rustc 1.34). Обновлены GCC 8.3, LLVM/Clang  7.0.1, OpenJDK 11, Perl 5.28, PHP 7.3, Python 3.7.2. -  Обновлены серверные приложения, в том числе Apache httpd     2.4.38, BIND 9.11, Dovecot 2.3.4, Exim 4.92, Postfix 3.3.2, MariaDB 10.3, nginx     1.14, PostgreSQL 11, Samba 4.9 (в ядре обеспечена поддержка SMBv3); -  В cryptsetup осуществлён (https://www.opennet.ru/opennews/art.shtml?num=47728) переход на формат шифрования дисков LUKS2 (ранее применялся LUKS1). LUKS2 отличается упрощённой системой управления ключами, возможностью использования секторов большого размера (4096 вместо 512, снижает нагрузку при расшифровке), символьными идентификаторами разделов (label) и средствами резервирования метаданных с возможностью их автоматического восстановления из копии в случае выявления повреждения. В процессе обновления существующие разделы  LUKS1 автоматически будут преобразованы в формат, совместимый с LUKS2, но из-за ограничений размера заголовка не все новые возможности для них будут доступны; -  В инсталляторе добавлена возможность использования одновременно нескольких консолей в процессе установки. Удалена поддержка ReiserFS. Для Btrfs добавлена поддержка сжатия ZSTD (libzstd). Добавлена поддержка устройств NVMe; -  В debootstrap по умолчанию задействована опция "--merged-usr", при которой все исполняемые файлы и библиотеки из корневых директорий переносятся в раздел /usr (каталоги /bin, /sbin и /lib* оформлены как символические ссылки на соответствующие каталоги внутри /usr). Изменение применяется только для новых установок, в процес... URL: https://www.debian.org/News/2019/20190706 Новость: https://www.opennet.ru/opennews/art.shtml?num=51041