Kapitel 5. Dinge, die Sie über Jessie wissen sollten

Es gibt einige Pakete, bei denen Debian nicht versprechen kann, dass zur Behebung von Sicherheitslücken nicht minimale Rückportierungen in die Pakete mit einfließen. Diese Pakete werden in den folgenden Abschnitten behandelt.

Bitte beachten Sie, dass das Paket debian-security-support, eingeführt in Jessie Ihnen dabei hilft, den Sicherheitsstatus installierter Pakete im Blick zu behalten.

Um das Standard-Setup gegen Angriffe abzuhärten, wurde die Voreinstellung auf "PermitRootLogin without-password" geändert. Falls Sie Passwortauthentifizierung für den root-Benutzer verwenden, könnten Sie von dieser Änderung betroffen sein.

Der openssh-server versucht, solche Situationen zu erkennen und bei Bedarf die Priorität des debconf-Prompts zu erhöhen.

Wenn Sie weiterhin Passwortauthentifizierung für den root-Benutzer verwenden möchten, können Sie diese Frage auch per Voreinstellung unterdrücken mit:

$ echo 'openssh-server openssh-server/permit-root-login boolean false' | debconf-set-selections
# Der "false"-Wert ist in der Tat korrekt, auch wenn dies vielleicht
# verwirrend sein mag.

Wenn Sie Puppet verwenden, beachten Sie bitte, dass Puppet 3.7 nicht abwärts-kompatibel mit Puppet 2.7 ist. Neben anderen Dingen wurden die Scoping-Regeln verändert und viele veraltete Konstrukte entfernt. Lesen Sie die Puppet 3.x Release Notes bezüglich näherer Informationen zu einigen Änderungen, aber beachten Sie, dass es noch weitere Änderungen in 3.7 gibt.

Es ist erheblich einfacher, das Upgrade zu beenden, wenn Sie die Logdateien des derzeitigen puppetmaster auf etwaige Warnungen bezüglich veralteter Einstellungen (deprecated) kontrollieren und all diese Warnungen beseitigen, bevor Sie mit dem Upgrade fortfahren. Alternativ - oder zusätzlich - dazu können Sie auch mit einem Hilfsprogramm wie puppet catalog test potentielle Probleme vor dem Upgrade aufspüren.

Wenn Sie ein durch Puppet verwaltetes System von Wheezy auf Jessie aktualisieren, müssen Sie sicherstellen, dass auf dem dazugehörigen puppetmaster mindestens Puppet Version 3.7 läuft. Läuft auf dem Master die Wheezy-Version von puppetmaster, wird sich das verwaltete Jessie-System nicht mit dem Master verbinden können.

Weitere Informationen zu inkompatiblen Änderungen finden Sie unter Telly upgrade issues und "The Angry Guide to Puppet 3".

Das Upgrade auf Jessie enthält die Aktualisierung von PHP 5.4 auf 5.6. Davon könnten jegliche lokalen PHP-Skripte betroffen sein, und Sie sollten diese Skripte vor dem Upgrade überprüfen. Hier eine Auswahl der betroffenen Änderungen:

Weitere Informationen sowie eine vollständige Liste potentieller Probleme finden Sie in der Liste der PHP-Autoren über rückwärts-kompatible Änderungen für PHP 5.5 und 5.6.

	Anmerkung
	Dieser Abschnitt betrifft nur Systeme, auf denen ein Apache-HTTPD-Server installiert und händisch konfiguriert worden ist.

Es gab eine ganze Reihe von Änderungen bei der Konfiguration des Apache-HTTPD-Servers in Version 2.4. Auf der Upstream-Seite wurde dabei die Syntax verändert. Erwähnenswert sind dabei die umfangreichen Änderungen an den Zugangskontrollrichtlinien, die eine händische Migration auf die neuen Richtlinien nötig machen.

In der Upgrade-Anleitung von Upstream wird das mod_access_compat-Modul als mögliche Alternative für eine direkte Migration genannt. Allerdings wird auch berichtet, dass es unter Umständen nicht immer funktioniert.

Im Debian-Paket wurde auch die Verwaltung von Konfigurationsdateien verändert. Speziell müssen jetzt alle Konfigurationsdateien auf ».conf« enden, um standardmäßig verarbeitet zu werden. Diese Änderung ersetzt auch die frühere Nutzung von /etc/apache2/conf.d/.

Anmerkung

Während dem Upgrade könnten Sie Warnungen bekommen über Konfigurationsdateien, die in /etc/apache2/conf.d/ abgelegt sind, welche von Paketen aus Debian bereitgestellt wurden. Diese Warnungen sind unvermeidbar, aber harmlos, da die betroffenen Pakete Ihre Konfigurationsdateien im Rahmen von deren Upgrade verschieben werden (was normalerweise passiert, direkt nachdem Apache HTTPD die Warnung ausgegeben hat).

Weitere Informationen und eine vollständige Liste der Änderungen finden Sie unter:

Jessie wird mit systemd-sysv als Standard-Init-System ausgeliefert. Dieses Paket wird im Rahmen des Upgrades automatisch installiert.

Falls Sie ein anderes Init-System wie z.B. sysvinit-core oder upstart bevorzugen, wird empfohlen, vor dem Upgrade APT-Pinning einzurichten. Dies könnte auch erforderlich sein, wenn Sie LXC-Container vor dem Host-Rechner aktualisieren. In diesem Fall lesen Sie bitte Abschnitt 5.8.1, „Upgrade von LXC-Guests, die auf Wheezy-Hosts laufen“.

Um z.B. die Installation von systemd-sysv während des Upgrades zu verhindern, können Sie eine Datei namens /etc/apt/preferences.d/local-pin-init mit folgendem Inhalt erstellen:

Package: systemd-sysv
Pin: release o=Debian
Pin-Priority: -1

	Achtung
	Seien Sie gewarnt, dass einige Pakete ein schlechteres Verhalten zeigen oder Funktionalitäten vermissen lassen könnten, wenn nicht das Standard-Init-System verwendet wird.

Bitte beachten Sie, dass während dem Upgrade trotz eingerichtetem APT-Pinning Pakete installiert werden könnten, die "systemd" in ihrem Namen enthalten. Durch dies allein wird nicht Ihr Init-System geändert, dazu muss zunächst das Paket systemd-sysv installiert werden.

Falls APT oder aptitude bei aktiviertem Apt-Pinning Probleme mit der Berechnung des Upgrades haben, können Sie vielleicht dabei helfen, indem Sie sysvinit-core und systemd-shim händisch installieren.

5.6.3. Lokal angepasste init-Skripte müssen eventuell auf systemd portiert werden

	Anmerkung
	Dieser Abschnitt betrifft nur Systeme, auf denen init-Skripte, die von Debian bereitgestellt wurden, lokal verändert worden sind.

Falls Sie von Debian bereitgestellte init-Skripte lokal verändert haben, beachten Sie bitte, dass diese möglicherweise durch eine system-unit-Datei oder durch systemd selbst ersetzt worden sind. Haben Sie debsums installiert, können Sie mit folgendem Befehl nach lokal veränderten init-Skripten suchen:

debsums -c -e | grep ^/etc/init.d

Alternativ können Sie folgendes verwenden, wenn debsums nicht installiert ist.

dpkg-query --show -f'${Conffiles}' | sed 's, /,\n/,g' | \
  grep /etc/init.d | awk 'NF,OFS="  " {print $2, $1}' | \
  md5sum --quiet -c

Wenn entweder keiner dieser Befehle irgendwelche Dateien und dazugehörige Pakete ausgibt oder systemd jetzt eine systemd-unit-Datei für diesen Dienst anbietet, wird die systemd-unit-Datei sich um das lokal veränderte init-Skript kümmern. Abhängig von der Natur der Änderungen gibt es verschiedene Wege, die Migration durchzuführen.

Falls nötig, ist es möglich, die systemd-unit-Datei zu überschreiben, so dass sie das sysvinit-Skript startet. Weitere Informationen über systemd-unit-Dateien finden Sie hier:

• How Do I Convert A SysV Init Script Into A systemd Service File?

• systemd.special — Special systemd units

• My Service Can't Get Realtime! (enthält auch einen kurzen Hinweis über den Aufruf von init-Skripten aus unit-Dateien)

HandlePowerKey=ignore
HandleSuspendKey=ignore
HandleHibernateKey=ignore
HandleLidSwitch=ignore

grep -e precheck -e check -e checkargs -e noearly -e loud -e keyscript /etc/crypttab

5.6.7. systemd: führt SIGKILL zu früh aus [in 8.1 behoben]

	Anmerkung
	Dieses Problem wurde in der Jessie-Zwischenveröffentlichung 8.1 behoben.

Nach der Veröffentlichung von Jessie wurde ein Rückentwicklung in systemd berichtet. Dieses Problem taucht auf während des Herunterfahrens oder Neustarts, weil systemd keine angemessene Zeit verstreichen lässt, bevor SIGKILL-Signale an verbleibende Prozesse geschickt werden. Das kann bei Prozessen, die zur Zeit des Herunterfahrens noch nicht alle Daten gesichert haben (z.B. Datenbanken), zu Datenverlust führen.

Weitere Informationen finden Sie im Debian-Fehlerbericht #784720.

	Anmerkung
	Dieser Abschnitt ist nur für Leute relevant, die Ihren eigenen Kernel kompilieren. Wenn Sie die von Debian vorkompilierten Kernel verwenden, können Sie dies ignorieren.

Folgende Kernel-Konfigurationsoptionen sind für Jessie entweder erforderlich oder empfohlen (zusätzlich zu den Anforderungen aus früheren Veröffentlichungen):

# Benötigt für udev
CONFIG_DEVTMPFS=y
# Benötigt für *einige* systemd-Dienste
CONFIG_DEVPTS_MULTIPLE_INSTANCES=y
# Benötigt für »bluez« (GNOME)
CONFIG_BT=y
# Benötigt für cups + systemd.
CONFIG_PPDEV=y
# Benötigt für udev
CONFIG_DEVTMPFS=y
# Benötigt für *einige* systemd-Dienste
CONFIG_DEVPTS_MULTIPLE_INSTANCES=y

Die systemd-Dienste, die CONFIG_DEVPTS_MULTIPLE_INSTANCES=y erfordern, enthalten typischerweise mindestens eine der folgenden Richtlinien:

PrivateTmp=yes
PrivateDevices=yes
PrivateNetwork=yes
ProtectSystem=yes

Falls Sie systemd nicht verwenden oder sich sicher sind, dass keiner der systemd-Dienste die obigen Richtlinien nutzt, wird die entsprechende Konfigurationsoption auf Ihrem System eventuell nicht benötigt.

Weitere Informationen über die Anforderungen finden Sie in dem Abschnitt »REQUIREMENTS« in der README-Datei aus dem systemd-Paket.

	Anmerkung
	Dieser Abschnitt betrifft nur Systeme, die LXC-Hosts und -Container enthalten. Auf Systeme normaler Benutzer trifft dies üblicherweise nicht zu.

Durch das Upgrade von Wheezy auf Jessie wird Ihr System standardmäßig auf das systemd-Init-System migriert (lesen Sie dazu Abschnitt 5.6, „Durch ein Upgrade wird das neue Standard-Init-System für Jessie installiert“).

Das Upgrade eines LXC-Containers oder einer LXC-virtuellen Maschine hat verschiedene Konsequenzen abhängig davon, ob das Host-System bereits auf Jessie aktualisiert wurde oder nicht.

lxc.autodev = 1
lxc.kmsg = 0

	Anmerkung
	Dieser Abschnitt ist nur für Leute relevant, die LUKS-verschlüsselte Laufwerke selbst mittels dem whirlpool-Hash eingerichtet haben. Der debian-installer hat nie die Erzeugung solcher Laufwerke unterstützt.

Haben Sie händisch ein verschlüsseltes Laufwerk mit LUKS whirlpool eingerichtet, müssen Sie es jetzt manuell auf ein stärkeres Hash migrieren. Sie können mit folgendem Befehl überprüfen, ob Ihr Laufwerk whirlpool verwendet:

# /sbin/cryptsetup luksDump <disk-device> | grep -i whirlpool

Weitere Informationen über die Migration finden Sie im Abschnitt "8.3 Gcrypt 1.6.x and later break Whirlpool" der cryptsetup-FAQ.

	Achtung
	Sollten Sie ein solches Laufwerk haben, wird cryptsetup sich standardmäßig weigern, es zu entschlüsseln. Sind Ihr root-Laufwerk oder andere Systemlaufwerke (z.B. /usr) mit whirlpool verschlüsselt, sollten Sie diese migrieren, bevor Sie nach der Aktualisierung des cryptsetup-Pakets einen Reboot durchführen.

GNOME 3.14 in Jessie hat keinen Ausweichmodus für Rechner ohne grundlegende 3D-Grafikfähigkeiten mehr. Um korrekt zu laufen, benötigt es entweder einen ausreichend aktuellen PC (jeder PC, der in den letzten 10 Jahren gebaut wurde, sollte die benötigte SSE2-Unterstützung bieten) oder - für andere Architekturen als i386 und amd64 - eine 3D-beschleunigte Grafikkarte mit EGL-Treibern.

Anders als sonstige OpenGL-Treiber unterstützt der FGLRX-Treiber von AMD für Radeon-Grafikkarten nicht die EGL-Schnittstelle. Daher werden verschiedene GNOME-Anwendungen, inklusive der Kernanwendung des GNOME-Desktops, erst gar nicht starten, wenn dieser Treiber verwendet wird.

Es wird empfohlen, dass Sie stattdessen den freien radeon-Treiber verwenden, welcher in Jessie der Standardtreiber ist.

Die standardmäßigen Tastaturkürzel des GNOME-Desktops wurden geändert, um sie mehr denen einiger anderer Betriebssysteme anzupassen.

Tastaturkürzel, die vorher durch den Benutzer angepasst worden sind, werden auch über das Upgrade hinaus erhalten bleiben. Die Einstellungen für die Tastaturkürzel können nach wie vor über das GNOME Controlcenter eingerichtet werden, erreichbar über das Menü oben rechts, indem Sie auf das "Einstellungen"-Icon klicken.

Die Aktualisierung des base-passwd-Pakets setzt die Standard-Shell einiger Systembenutzer auf die »nologin«-Shell zurück. Dies betrifft folgende Benutzer:

Falls Ihr System-Setup es erfordert, dass irgendeiner dieser Benutzer eine Shell bekommt, sollten Sie die Migration nicht durchführen, oder Sie führen sie durch und ändern die Shell des betreffenden Benutzers im Nachhinein. Beispiele dafür könnten lokale Backups sein, die durch den »backup«-Benutzer durchgeführt werden und eine »ssh-key«-Authentifizierung erfordern.

	Achtung
	Wenn die Debconf-Priorität auf »high« oder höher eingestellt ist, wird die Migration automatisch durchgeführt.

Möchten Sie die Shell eines bestimmten Benutzers unverändert lassen, können die Werte für die Fragen wie folgt per Voreinstellung gesetzt werden:

echo 'base-passwd base-passwd/system/username/shell/current-shell-mangled/_usr_sbin_nologin boolean false' | debconf-set-selections

Dabei ist username der Name des entsprechenden Benutzers und current-shell-mangled der bereinigte Name der Shell. Beim Bereinigen werden alle Zeichen außer alphanumerische Zeichen, Bindestriche und Unterstriche durch Unterstriche ersetzt, d.h. /bin/bash wird zu _bin_bash.

Das Personal-Information-Management-System Kontact hat ein großes Upgrade erhalten. Die neue Version nutzt Metadaten-Indexierung und alle Nutzerdaten müssen auf diesen neuen Index migriert werden.

E-Mails, Kalender- und Adressbucheinträge werden automatisch migriert, wenn der Benutzer sich anmeldet und die entsprechende Komponente gestartet wird. Einige erweiterte Einstellungen wie E-Mail-Filter und eigene Vorlagen erfordern jedoch manuelles Eingreifen. Weitere Details und Empfehlungen im Falle von Problemen sind auf einer Seite im Debian Wiki zusammengefasst.

	Anmerkung
	Dieser Fehlerbericht wurde als »behoben in Jessie« markiert. Sollten Sie dieses Problem immer noch reproduzieren können, melden Sie dies bitte an den Debian-Fehlerbericht #766462. Beachten Sie, dass Sie den Fehlerbericht dazu eventuell erst dearchivieren müssen (lesen Sie dazu die Dokumentation zum Debian-BTS-Controlserver).

Wenn Sie mehrere Desktop-Umgebungen zeitgleich installiert haben, könnten Sie feststellen, dass keine der »virtuellen Konsolen« einen Login-Prompt anzeigen.

Dieses Problem tritt scheinbar auf, wenn plymouth, systemd und GNOME gleichzeitig installiert sind. Es wurde als Fehler #766462 an die Debian-Fehlerdatenbank berichtet.

Berichten zufolge ist es eventuell möglich das Problem zu umgehen, indem das Argument »splash« von der Kernel-Befehlszeile entfernt wird. Schauen Sie dazu in die Datei /etc/default/grub und denken Sie daran, nach etwaigen Änderungen update-grub auszuführen.

Es gibt ein Kompatibilitätsproblem in grub-pc mit älteren Grafikkarten (z.B. »ATI Rage 128 Pro Ultra TR«), was dazu führen kann, dass während des Bootens ein leerer Bildschirm angezeigt wird. Der Monitor könnte Meldungen wie »VGA signal out of range« oder ähnlich anzeigen.

Eine einfache Möglichkeit, dies zu umgehen, ist GRUB_TERMINAL=console in /etc/default/grub zu setzen.

Das crontab-Programm hat jetzt strengere Anforderungen und könnte das Speichern einer geänderten cron-Datei ablehnen, wenn diese ein ungültiges Format hat. Sollten Sie Probleme mit crontab -e feststellen, kontrollieren Sie bitte Ihre crontab auf mögliche Fehler.

Seit Version 5.18 (und 5.20, welche in Jessie enthalten ist) wird Perl mit einem schwerwiegenden Fehler abbrechen, wenn es nicht lesbare Pfade für Module in @INC erkennt. Das frühere Verhalten war, solche Einträge zu überspringen. Es wird empfohlen, den Inhalt von @INC in Ihren Umgebungsvariablen auf Verzeichnisse zu kontrollieren, die nicht für alle lesbar sind, und entsprechende Maßnahmen zu ergreifen.

Sie können den Perl-Standardwert für @INC setzen, indem Sie perl -V ausführen.

Wenn ein Client die Anforderung stellt, dass eine Datei zur Ausführung geöffnet werden soll ("open for execution"), erfordert Samba4, dass zusätzlich zu der normalen Leseberechtigung das Ausführbar-Bit ("executable bit") der Datei gesetzt ist. Das führt auch dazu, dass "netlogon"-Skripte ohne jegliche Meldung ignoriert werden, wenn diesen das Ausführbar-Bit fehlt.

	Anmerkung
	Dieser Abschnitt betrifft nur Leute, die ihre /etc/initramfs-tools/initramfs.conf-Datei händisch verändert haben, so dass busybox nicht verwendet wird.

Wenn Sie busybox und cryptsetup installiert haben und initramfs so konfiguriert ist, dass busybox nicht genutzt wird, könnte dies zu einem nicht mehr boot-fähigen System führen.

Bitte prüfen Sie Ihre busybox-Einstellungen in /etc/initramfs-tools/initramfs.conf, wenn Sie diese beiden Pakete installiert haben. Möglichkeiten, dies Problem zu umgehen, sind derzeit die Deinstallation von busybox oder das Setzen von BUSYBOX=y in /etc/initramfs-tools/initramfs.conf.

	Warnung
	Falls Sie irgendwas ändern müssen, denken Sie bitte daran, update-initramfs -u auszuführen, um das initramfs zu aktualisieren. Andernfalls könnten Sie trotzdem ein System haben, das nicht bootet.

Weitere Informationen finden Sie im Fehlerbericht Debian Bug#783297.

	Anmerkung
	Dieser Abschnitt betrifft nur Systeme, auf denen der Squid-Webproxy installiert ist.

Die Konfiguration von Squid wurde geändert und ist nicht mehr rückwärtskompatibel. Zum Beispiel wurden die Namen einiger Squid-Hilfsprogramme verändert. Falls Ihre Konfiguration auf alten Funktionalitäten aufbaut, die nicht mehr existieren, oder auf den alten Namen der Hilfsprogramme, könnte der Start des Squid-Dienstes nach dem Upgrade fehlschlagen.

Lesen Sie bitte die Release Notes der Upstream-Autoren, wenn Sie weitere Informationen benötigen: