Capítulo 5. Problemas que debe tener en cuenta para jessie

Hay algunos paquetes para los que Debian no puede comprometerse a proporcionar versiones actualizadas resolviendo problemas de seguridad. La información de estos paquetes se cubre en las siguientes subsecciones.

Tenga en cuenta que el paquete debian-security-support, introducido en Jessie, ayuda a supervisar el estado de soporte de seguridad de los paquetes instalados en el sistema.

Para intentar proteger la configuración predeterminada, la configuración de openssh-server ahora estará fijada «PermitRootLogin without-password». Este cambio le afectará si utiliza la autenticación mediante contraseña para el usuario root.

El paquete openssh-server intentará detectar estos casos e incrementará la prioridad de su pregunta debconf.

Si quiere mantener la autenticación mediante contraseña para el usuario root también puede preconfigurar esta pregunta utilizando lo siguiente:

# The "false" value is in fact correct despite being confusing.
$ echo 'openssh-server openssh-server/permit-root-login boolean false' | debconf-set-selections

Ha de tener en cuenta si utiliza Puppet que la versión 3.7 no es compatible hacia atrás con la versión 2.7. Por varias razones, entre otras, que las reglas de ámbito han cambiado y se han eliminado muchas definiciones obsoletas. Encontrará más información de estos cambios en las notas de publicación de la versión 3.x de Puppet, pero ha de tener en cuenta que hay más cambios en la versión 3.7.

Será más fácil completar la actualización si revisa los archivos de registro de su «puppetmaster» actual en busca de avisos de módulos obsoletos y si resuelve todos esos avisos antes de continuar con la actualización. También puede, en lugar de hacer ésto o como un paso adicional, comprobar los manifiestos con una herramienta como Prueba de catálogo de Puppet («Puppet catalog test», N. del T.) que le ayudará a encontrar problemas potenciales antes de hacer la actualización.

Cuando se actualiza un sistema gestionado mediante Puppet de Wheezy a Squeeze debe asegurarse que el «puppetmaster» que lo gestiona está ejecutando al menos la versión 3.7 de Puppet. Si el gestor está ejecutando la versión de Wheezy de puppetmaster, el sistema gestionado Jessie no podrá conectarse a él.

Consulte los documentos Problemas conocidos en la actualización y «La guía enfadada de Puppet 3" para más información de los problemas de incompatibilidad.

La actualización a Jessie incluye una actualización de la versión PHP de 5.4 a 5.6. Esta actualización puede afectar a programas PHP locales, por lo que se recomienda revisar estos programas antes de actualizar. A continuación se listan un conjunto de estos problemas:

Encontrará más información de todos los problemas potenciales en la lista de los cambios incompatibles realizada por los desarrolladores para PHP 5.5 y 5.6.

	Nota
	Esta sección sólo aplica a los sistemas que tienen instalado el servidor Apache HTTPD y en los que éste se ha configurado manualmente.

Ha habido una serie de cambios en la configuración del servidor Apache HTTPD en la versión 2.4. La síntaxis ha cambiado en la versión original. Cabe destacar que las directivas de control de acceso han cambiado significativamente y será necesario migrar manualmente la configuración a las nuevas directivas.

El módulo mod_access_compat se menciona en la guía de actualización original como una posible alternativa para una migración inmediata. Sin embargo, algunos informes sugieren que no siempre funciona.

La gestión de los archivos de configuración también ha cambiado en el empaquetado en Debian. En particular, el nombre de todos los archivos de configuración y sitios ahora tienen que terminar ahora en «.conf» para que se traten de forma predeterminada. Este cambio también reemplaza el uso actual de /etc/apache2/conf.d/.

Nota

Durante la actualización también verá avisos sobre los archivos de configuración que se encuentran en /etc/apache2/conf.d/, que se ofrecen por paquetes en Debian. Este aviso es evitable y no hace ningún daño puesto que los paquetes aceptados moverán su configuración una vez se complete su actualización (lo que generalmente sucede después de que Apache HTTPD muestre su aviso). which are provided by packages from Debian. This warning is unavoidable but harmless as the affected packages will move their configuration once their upgrade completes (which will generally happen after the Apache HTTPD emits its warning).

Para obtener más información y obtener la lista completa de los cambios, puede consultar:

Jessie incluye systemd-sysv como sistema de inicio predeterminado. Este paquete se instala de forma automáticamente durante la actualización.

Si prefiere otro sistema de inicio como sysvinit-core o upstart, lo recomendable es utilizar el bloqueo de APT antes de la actualización. Ésto será necesario si está actualizando contenedores LXC antes que el huésped. En este caso, consulte Sección 5.8.1, “Actualización de huéspedes LXC que se ejecutan en anfitriones Wheezy”.

Por ejemplo, para impedir que se instale systemd-sysv durante la instalación, puede crear un archivo con el nombre /etc/apt/preferences.d/local-pin-init con los siguientes contenidos:

Package: systemd-sysv
Pin: release o=Debian
Pin-Priority: -1

	Atención
	Tenga en cuenta que algunos paquetes pueden mostrar un comportamiento degradado o perder algunas funcionalidades si se utiliza un sistema de inicio distinto del predeterminado.

Tenga en cuenta que la actualización puede instalar paquetes que contengan «systemd» en su nombre aunque se configure el bloqueo de APT. La instalación de éstos no cambia su sistema de inicio. Para que systemd se utilice como sistema de inicio, debe instalarse primero el paquete systemd-sysv.

Si APT o aptitude tiene dificultades para determinar una ruta de actualización cuando el bloqueo está configurado, puede ser capaz de ayudarle instalando manualmente los paquetes sysvinit-core y systemd-shim.

5.6.3. Los guiones de inicio modificados localmente tienen que ser migrados a systemd

	Nota
	Esta sección sólo aplica a los sistemas donde los programas de inicio ofrecidos por Debian han sido modificados localmente.

Ha de tener en cuenta que si ha modificado algunos de los programas de inicio ofrecidos por Debian pueden haberse reemplazados por un archivo de unidad de systemd o por el propio systemd. Puede buscar los programas de inicio localmente modificados ejecutando la siguiente orden si tiene el programa «debsums» instalado:

debsums -c -e | grep ^/etc/init.d

Otra opción, si no tiene instalado debsums, es utilizar la siguiente orden.

dpkg-query --show -f'${Conffiles}' | sed 's, /,\n/,g' | \
  grep /etc/init.d | awk 'NF,OFS="  " {print $2, $1}' | \
  md5sum --quiet -c

Si cualquiera de los programas marca cualquier archivo y sus paquetes correspondientes o el paquete systemd incluye ahora un archivo de unidad de systemd para ese servicio, el archivo de unidad de systemd tendrá preferencia sobre su archivo de inicio modificado. Dependiendo de la naturaleza del cambio, existen distintas formas de realizar la migración.

Si fuese necesario, es posible quitarle precedencia al archivo de unidad de systemd para que arranque el guión de inicio. Puede consultar los siguientes recursos para obtener más información sobre archivos de unidad de systemd.

• ¿Cómo converto un programa de arranque SysV a un fichero de servicio de systemd?

• systemd.special — unidades especiales de units

• ¡Mi servicio no puede funcionar en tiempo real! (también contiene una pequeña mención describiendo cómo ejecutar programas de inicio desde archivos de unidad).

HandlePowerKey=ignore
HandleSuspendKey=ignore
HandleHibernateKey=ignore
HandleLidSwitch=ignore

grep -e precheck -e check -e checkargs -e noearly -e loud -e keyscript /etc/crypttab

5.6.7. systemd: issues SIGKILL too early [fixed in 8.1]

	Nota
	This issue was fixed in the 8.1 Jessie point release.

A regression was reported in systemd after the Jessie release. The bug occurs during shutdown or reboot, where systemd does not give any reasonable delay before issuing SIGKILL to processes. This can lead to data loss in processes that have not saved all data at the time of the reboot (e.g. running databases).

This issue is tracked in the Debian bug #784720

	Nota
	Esta sección sólo aplica a aquellas personas que compilan su propio núcleo. Puede omitir esta sección si vd. utiliza los núcleos compilados por Debian.

Las opciones de configuración del kernel listadas a continuación son o bien obligatorias o recomendadas para Jessie (además de las opciones existentes de anteriores versiones):

# Necesario para udev
CONFIG_DEVTMPFS=y
# Necesario para *algunos* servicios systemd
CONFIG_DEVPTS_MULTIPLE_INSTANCES=y
# Necesario para "bluez" (GNOME)
CONFIG_BT=y
# Necesario para cups + systemd.
CONFIG_PPDEV=y

Los servicios de system que requieren «CONFIG_DEVPTS_MULTIPLE_INSTANCES=y» habitualmente incluirán algunas de las siguientes directivas:

PrivateTmp=yes
PrivateDevices=yes
PrivateNetwork=yes
ProtectSystem=yes

Esta opción de configuración puede no ser necesaria para su sistema en particular si no utiliza systemd o si puede asegurar que ninguno de los servicios de systemd utiliza las directivas indicadas arriba.

Consulte la sección «REQUIREMENTS» («Requisitos», N. del T.) para más información de los requisitos en el archivo README del paquete systemd.

	Nota
	Esta sección sólo aplica a los sistemas que tienen contenedores LXC y sistemas. Los usuarios finales de sistemas normales habitualmente no tienen éstos.

La actualización de Wheezy a Jessie migrará su sistema al mecanismo de inicio systemd por omisión (consulte Sección 5.6, “La actualización instala el nuevo sistema de arranque predeterminado para Jessie”).

Cuando actualice un contenedor LXC o una máquina virtual LXC, ésto tendrá distintas consecuencias dependiendo de si el equipo anfitrión se ha actualizado a Jessie o no.

lxc.autodev = 1
lxc.kmsg = 0

	Nota
	Esta sección es sólo para las personas que han configurado ellos mismos discos LUKS cifrados utilizando el hash whirlpool. El instalador de Debian nunca ha dado soporte a este tipo de discos.

Si ha configurado manually un disco cifrado con LUKS whirlpool tendrá que migrarlo manualmente a un hash más robusto. Puede comprobar si su disco utiliza whirlpool con la siguiente orden:

# /sbin/cryptsetup luksDump <dispositivo-de-disco> | grep -i whirlpool

Puede consultar el ítem «8.3 Gcrypt 1.6.x and later break Whirlpool» de las PUF de cryptsetup para más información sobre cómo migrar.

	Atención
	Si tiene este tipo de disco, cryptsetup no le permitirá descifrarlo por omisión. Si tiene cifrados con whirlpool su disco raíz o cualquier otro disco del sistema (p.ej. /usr), debería migrarlos antes de hacer el primer reinicio antes de actualizar cryptsetup.

El entorno de escritorio GNOM 3.14 en Jessie ya no tiene soporte hacia atrás para equipos que no disponen de una tarjeta básica de gráficos 3D. Para su ejecución necesita o bien un PC suficientemente reciente (cualquier PC construído en los últimos 10 años debería tener el soporte SSE2 necesario) o, para arquitecturas que no son i386 ni amd64, un adaptador de gráficos con aceleración 3D y con controladores EGL.

El controlador AMD FGLRX para los adaptadores Radeon no tiene soporte de la interfaz EGL, a diferencia de otras controladoras OpenGL. Por ello, algunas aplicaciones de GNOME, incluyendo las básicas del escritorio de GNOME, no arrancarán cuando se utilice este controlador.

Es recomendable el uso del controlador radeon libre, que es el predeterminado en jessie.

Los atajos de teclado predeterminados en GNOME han cambiado para que se parezcan más a los de otros sistemas operativos.

La configuración se preservará durante la actualización si el usuario ha modificado la configuración de los atajos de teclado. Estos valores aún son configurables en el centrl de control de GNOME, accesible en el menú en el punto alto y a la derecha de la mañana en el icono «configuración» («settings», N. del .T)

La actualización del paquete base-passwd cambiará el intérprete de órdenes que algunos usuarios del sistema utilizan a «nologin». Este cambio afecta a los siguientes usuarios:

Debería responder «no» a la pregunta que se le realizará sobre este cambio si su instalación local necesita que alguno de estos usuarios tenga un intérprete de órdenes válido, o migrar la configuración y después cambiar el intérprete de órdenes de los usuarios corersopndientes. Un caso notable incluye las copias de seguridad locales que se realizan utilizando el usuario «backup» con la autenticación «ssh-key».

	Atención
	La migración se realizará de forma automática si su nivel configurado de prioridad en las preguntas de debconf es «alto» o superior.

Puede preconfigurar las preguntas si vd. conoce qué usuarios necesitan mantener el intérprete de órdenes actuales. Para ello utilice lo siguiente:

echo 'base-passwd base-passwd/system/nombre_de_usuario/shell/intérprete-actual-modificado/_usr_sbin_nologin boolean false' | debconf-set-selections

Donde nombre_de_usuario es el nombre del usuario en cuestión y intérprete-actual-modificado es el nombre modificado del intérprete de órdenes. La modificación se realiza susituyendo todos los carácteres que no son alfanuméricos, como por ejemplo guiones o barras, por guiones bajos («_». Por ejemplo, el intérprete de órdenes «/bin/bash» se convertiría en «_bin_bash».

El sistema de Gestión de Información Personal de Kontact ha recibido una actualización importante. Esta nueva versión hace mucho más uso de indexación con metadatos y los datos de cada usuario deben migrarse a estos nuevos índices.

Se migrarán automáticamente los correos electrónicos, eventos de calendario y contactos de la agenda cuando el usuario se conecte y arranque el componente correspondiente. Algunas funciones avanzadas requieren de intervención manual, es el caso de los filtros de correo electrónico y las plantillas personales. Se recogen en el Wiki de Debian más detalles y sugerencias para depurar el problema.

	Nota
	This issue is currently reported as fixed in Jessie. Should you still be able to reproduce it, then please follow up to Debian Bug#766462. Note that you may have to unarchive the issue first (please refer to the Debian BTS control server documentation on how to unarchive bugs).

Puede que deje de ver la pregunta para el acceso al sistema de las «consolas virtuales» si tiene instalados múltiples entornos de escritorio.

Este problema parece darse cuando están instalados plymouth, systemd, y GNOME. Este problema se ha reportado como Errata de Debian #766462.

En algunos casos eliminando la opción «splash» de la línea de órdenes del núcleo resuelve el problema. Consulte /etc/default/grub y no se olvide de ejecutar update-grub después de actualizar el fichero.

Existen problemas de compatibilidad entre grub-pc con tarjetas gráficas viejas (p.ej. la "ATI Rage 128 Pro Ultra TR") que pueden provocar que se muestre una pantalla en blanco durante el arranque. La pantalla puede llegar a mostrar un mensaje «VGA signal out of range» («Señal de VGA fuera de límites», N. del T.) u otro mensaje similar.

Una forma de evitar este problema es definir en /etc/default/grub el valor GRUB_TERMINAL=console.

El programa crontab ahora es más estricto y puede rechazar guardar cambios a un archivo de cron si éste es inválido. Debe revisar su lista de tareas planificadas («crontab») en búsqueda de posibles problemas si la ejecución de crontab -e muestra algún error.

Perl saldrá con un error fatal si encuentra rutas de módulos ilegibles en @INC a partir de la versión 5.18 (y 5.20, que es la versión incluida en Jessie). El comportamiento anterior era omitir estas entradas. Se recomienda revisar los contenidos de la definición de @INC en su entorno para determinar si hay directorios que no puedan leerlos todos los usuarios y tomar las medidas oportunas.

Puede consultar el valor predeterminado para @INC en Perl ejecutando la orden perl -V.

Samba4 exigirá que el bit de ejecución este activo en un archivo, además de los permisos habituales de lectura, si un cliente solicita un archivo que debe «abrirse para ejecución». Esto también causa que los programas «netlogon» se ignoren silenciosamente si no disponen de este bit activo.

	Nota
	Esta sección sólo aplica a aquellas personas que han modificado manualmente su configuración en /etc/initramfs-tools/initramfs.conf para no utilizar busybox.

Puede darse el caso de que su sistema no arranque si tiene instalados a la vez busybox y cryptsetup y además ha configurado initramfs para que no utilice busybox.

Debe revisar el valor de su opción de configuración BUSYBOX en /etc/initramfs-tools/initramfs.conf si tiene ambos paquetes instalados. En el momento de escribir estas líneas, la forma conocida de resolver este problema es o bien desinstalar busybox o bien configurar BUSYBOX=y en /etc/initramfs-tools/initramfs.conf.

	Aviso
	Si ha realizado cambios no se olvide de ejecutar update-initramfs -u para actualizar su initramfs. Si no lo hace puede que acabe también con un sistema de arranque roto.

Si desea más información, consulte el informe de fallo #783297.

	Nota
	This section only applies to people that have installed the squid webproxy.

The configuration of squid has changed in an incompatible way. Notably some of the squid "helpers" have changed their name. If your configuration relies on old features no longer present or on the old names for the helpers, your squid service may fail to start after the upgrade.

Please see the upstream release notes for more information. These are: