Rozdział 5. Problemy, które należy mieć na uwadze, a dotyczące wydania jessie

Istnieje kilka pakietów, którym Debian nie może zapewnić minimalnego wsparcia bezpieczeństwa. Szczegółowo opisano je poniżej.

Proszę zauważyć, że pakiet debian-security-support, wprowadzony w Jessie, pomaga śledzić status wsparcia bezpieczeństwa zainstalowanych pakietów.

Aby wzmocnić domyślne ustawienia, konfiguracja openssh-server przyjmie obecnie wartość domyślną "PermitRootLogin without-password". Użytkownicy korzystający z uwierzytelnienia hasłem użytkownika root mogą być dotknięci tą zmianą.

Pakiet openssh-server postara się wykryć takie przypadki i zwiększyć priorytet szablonu debconf.

Aby pozostawić uwierzytelnianie hasłem użytkownika root można również dokonać uprzedniej konfiguracji za pomocą:

# The "false" value is in fact correct despite being confusing.
$ echo 'openssh-server openssh-server/permit-root-login boolean false' | debconf-set-selections

Osoby używające Puppet muszą wiedzieć, że Puppet 3.7 nie jest kompatybilny wstecznie z Puppet 2.7. Wśród wielu innych rzeczy, zmieniono reguły zasięgów oraz usunięto wiele przestarzałych konstrukcji. Więcej informacji o zmianach można przeczytać w uwagach do wydania Puppet 3.x, choć w wersji 3.7 dokonano kolejnych zmian.

Sprawdzenie plików dziennika bieżącego puppetmaster w celu znalezienia ostrzeżeń o przestarzałych konstrukcjach i rozwiązanie wszystkich wskazanych w ten sposób problemów przed uaktualnieniem znacznie ułatwi proces aktualizacji. Zamiast lub oprócz tego można również przetestować pliki manifest narzędziem Puppet catalog test które może również wyszukać potencjalne przeszkody w aktualizacji.

Przy aktualizacji systemu zarządzania Puppet z wydania Wheezy do Jessie należy upewnić się, że na odpowiednim puppetmaster działa co najmniej wersja 3.7. Jeśli master korzysta z wersji puppetmaster z wydania Wheezy, system zarządzający Jessiem nie będzie mógł się z nim połączyć.

Więcej informacji o niekompatybilnych zmianach można znaleźć na stronach Telly upgrade issues i "The Angry Guide to Puppet 3".

Aktualizacja do wydania Jessie obejmuje uaktualnienie PHP z wersji 5.4 do 5.6. Może mieć ona wpływ na lokalne skrypty PHP, w związku z czym zaleca się sprawdzenie ich przed dokonaniem aktualizacji. Poniżej znajduje się opis niektórych problemów:

Więcej informacji i pełna lista potencjalnych problemów znajduje się w liście niekompatybilnych wstecznie zmian PHP projektu macierzystego dla wersji PHP 5.5 i 5.6.

	Uwaga
	Poniższy rozdział ma znaczenie jedynie w przypadku systemów z zainstalowanym serwerem HTTPD Apache skonfigurowanym ręcznie.

W wersji 2.4 serwera HTTPD Apache zaszło wiele zmian w konfiguracji. Od strony projektu macierzystego zmieniła się składnia. Duże zmiany dotknęły przede wszystkim dyrektyw kontroli dostępu, co będzie wymagało ręcznej zmiany na nowe dyrektywy.

Moduł mod_access_compat w poradniku aktualizacji projektu wskazany jest jako możliwa alternatywa do bezpośredniej migracji. Niestety, z informacji od użytkowników wynika, że może nie zawsze działać poprawnie.

Zarządzanie plikami konfiguracyjnymi zmieniło się również w pakiecie Debiana. W szczególności, wszystkie strony i pliki konfiguracyjne muszą kończyć się obecnie ".conf", aby domyślnie były parsowane. Zmiana zastępuje również obecne korzystanie z /etc/apache2/conf.d/.

	Uwaga
	Podczas aktualizacji mogą się wyświetlać również ostrzeżenia o plikach konfiguracyjnych umieszczonych w /etc/apache2/conf.d/, które są udostępniane przez pakiety Debiana. Ostrzeżenia nie da się uniknąć, ale jest niegroźne, jako że poszczególne pakiety przeniosą swoją konfigurację po zakończeniu aktualizacji (co zwykle następuje po wypisaniu ostrzeżenia przez HTTPD Apache).

Więcej informacji i pełna lista zmian:

Domyślnym systemem init wydania Jessie jest systemd-sysv. Pakiet jest instalowany automatycznie przy aktualizacji.

Osoby preferujący inny system init, taki jak sysvinit-core lub upstart powinny ustawić odpowiedni priorytet APT-a przed aktualizacją. Może być to wymagane również przy aktualizacji kontenerów LXC przed aktualizacją systemu gospodarza. W takim przypadku proszę zapoznać się z Sekcja 5.8.1, „Aktualizacja gości LXC na gospodarzu z wydaniem Wheezy”.

Przykładowo, aby zapobiec instalacji systemd-sysv przy aktualizacji, można utworzyć plik /etc/apt/preferences.d/local-pin-init z poniższą zawartością:

Package: systemd-sysv
Pin: release o=Debian
Pin-Priority: -1

	Ostrzeżenie
	Proszę zauważyć, że niektóre pakiety mogą nie działać w pełni lub nie wykorzystywać wszystkich dostępnych funkcji z systemem init innym niż domyślny.

Proszę zauważyć, że aktualizacja może doprowadzić do instalacji pakietów zawierających w swej nazwie "systemd" nawet przy powyższych ustawieniach. Nie zmieni to systemu init. Aby systemd stał się systemem init z którego będzie korzystał system, konieczne jest uprzednie zainstalowanie pakietu systemd-sysv.

Jeżeli APT lub aptitude ma problemy z wybraniem ścieżki aktualizacji z włączonym priorytetem, można mu pomóc ręcznie instalując sysvinit-core i systemd-shim.

5.6.3. Lokalnie zmodyfikowane skrypty init mogą wymagać przepisania pod systemd

	Uwaga
	Poniższy rozdział ma znaczenie jedynie w przypadku systemów w których zmodyfikowano skrypty init dostarczane przez Debiana.

W przypadku modyfikacji skryptów init dostarczanych przez Debiana proszę wziąć pod uwagę, że mogły zostać zastąpione przez plik unit systemd lub przez samego systemd. Jeśli zainstalowano pakiet debsums, można wyszukać lokalnie zmodyfikowane skrypty init za pomocą poniższego polecenia powłoki.

debsums -c -e | grep ^/etc/init.d

W przypadku braku pakietu debsums można skorzystać z poniższego polecenia.

  dpkg-query --show -f'${Conffiles}' | sed 's, /,\n/,g' | \
    grep /etc/init.d | awk 'NF,OFS="  " {print $2, $1}' | \
    md5sum --quiet -c

Jeżeli któreś z powyższych poleceń oznaczy jakieś pliki i odpowiadające im pakiety lub pakiet systemd zapewnia obecnie plik systemd dla tej usługi, to plik unit systemd będzie miał pierwszeństwo przed lokalnie zmodyfikowanym skryptem init. W zależności od typu zmiany istnieją różne sposoby przeprowadzenia migracji.

Jeśli to konieczne, możliwe jest przesłonięcie pliku unit systemd aby uruchomił on skrypt sysvinit. Więcej informacji o plikach systemd znajduje się w poniższych opracowaniach (w języku angielskim).

• How Do I Convert A SysV Init Script Into A systemd Service File?

• systemd.special — Special systemd units

• My Service Can't Get Realtime! (zawiera również króciutką wzmiankę o przywoływaniu skryptów init z plików unit)

HandlePowerKey=ignore
HandleSuspendKey=ignore
HandleHibernateKey=ignore
HandleLidSwitch=ignore

grep -e precheck -e check -e checkargs -e noearly -e loud -e keyscript /etc/crypttab

5.6.7. systemd: wywołuje SIGKILL zbyt wcześnie [naprawiono w 8.1]

	Uwaga
	Problem został rozwiązany w wydaniu punktowym 8.1 Jessie.

Zgłoszono regresję w systemd po wydaniu Jessie. Błąd występował przy zamykaniu lub ponownym uruchamianiu systemu, gdy systemd wysyłał SIGKILL do procesów bez zachowania odpowiedniego odstępu czasowego. Mogło to doprowadzić do utraty danych przez procesy które nie zachowują wszystkich danych w trakcie ponownego uruchamiania (np. działające bazy danych).

Błąd jest śledzony w systemie śledzenia błędów Debiana pod numerem #784720

	Uwaga
	Poniższy rozdział tyczy się jedynie użytkowników kompilujących swoje jądra. Osoby korzystające z jąder skompilowanych przez projekt Debian mogą go pominąć.

Poniższe opcje konfiguracji jądra są obecnie wymagane lub zalecane w wydaniu Jessie (oprócz tych z poprzednich wydań):

# Wymagane do udev
CONFIG_DEVTMPFS=y
# Wymagane przez *część* usług systemd
CONFIG_DEVPTS_MULTIPLE_INSTANCES=y
# Wymagane przez "bluez" (GNOME)
CONFIG_BT=y
# Wymagane przez cups + systemd.
CONFIG_PPDEV=y

Usługi systemd wymagające CONFIG_DEVPTS_MULTIPLE_INSTANCES=y zwykle zawierają co najmniej jedną z poniższych dyrektyw:

PrivateTmp=yes
PrivateDevices=yes
PrivateNetwork=yes
ProtectSystem=yes

Jeśli nie korzysta się z systemd lub żadna z usług systemd nie korzysta z powyższych dyrektyw opisywana opcja konfiguracji może nie być wymagana.

Więcej informacji o wymaganiach jest opisanych w rozdziale zatytułowanym "REQUIREMENTS" w pliku README pakietu systemd.

	Uwaga
	Poniższy rozdział ma znaczenie jedynie w przypadku systemów które mają kontenery i gospodarzy LXC, co zwykle nie dotyczy przeciętnych użytkowników.

Aktualizacja z wydania Wheezy do Jessie spowoduje domyślnie migrację dystrybucji na systemd (zobacz Sekcja 5.6, „Aktualizacja instaluje nowy domyślny system init wydania Jessie”).

Przy aktualizacji kontenera lub maszyny wirtualnej LXC mogą zajść następujące przypadki w zależności od tego, czy system-gospodarz dokonał już aktualizacji do jessie.

lxc.autodev = 1
lxc.kmsg = 0

	Uwaga
	Poniższy rozdział jest przeznaczony wyłącznie dla użytkowników korzystających z dysków zaszyfrowanych przy pomocy LUKS i funkcji skrótu whirlpool. Instalator dystrybucji Debian nigdy nie obsługiwał tworzenia takich dysków.

Jeśli utworzyło się ręcznie dysk zaszyfrowany whirlpool w LUKS, konieczne będzie ręczne przejście na silniejszą funkcję skrótu. Aby sprawdzić czy dysk korzysta z whirlpool proszę wydać polecenie:

# /sbin/cryptsetup luksDump <urządzenie-dyskowe> | grep -i whirlpool

Więcej informacji o migracji można znaleźć pod wpisem "8.3 Gcrypt 1.6.x and later break Whirlpool" na stronie często zadawanych pytań cryptsetup.

	Ostrzeżenie
	Jeśli ma się taki dysk, cryptsetup domyślnie odmówi odszyfrowania go. Jeśli partycja główna lub inny dysk systemowy (np. /usr) został zaszyfrowany przy pomocy whirlpool, należy dokonać migracji przed pierwszym ponownym uruchomieniem po aktualizacji pakietu cryptsetup.

Pulpit GNOME 3.14 w Jessie nie ma już opcji trybu zastępczego dla komputerów nieobsługujących prostej grafiki 3D. Do poprawnego działania konieczne jest posiadanie odpowiednio nowego komputera PC (wszystkie komputery z ostatnich 10 lat powinny obsługiwać wymagany zestaw instrukcji SSE2) lub, w przypadku architektur innych niż i386 i amd64, kart graficznych z akceleracją 3D i sterownikami EGL.

W przeciwieństwie do innych sterowników OpenGL sterownik FGLRX firmy AMD do kart Radeon nie obsługuje interfejsu EGL. W związku z tym wiele aplikacji GNOME, w tym główne składniki pulpitu GNOME nie uruchomią się na tym sterowniku.

Zaleca się przejście na wolny sterownik radeon, który jest jednocześnie domyślnym sterownikiem w wydaniu jessie.

Zmieniono domyślne skróty klawiszowe pulpitu GNOME, tak aby bardziej przypominały te znane z innych systemów operacyjnych.

Uprzednio zmodyfikowane przez użytkownika ustawienia skrótów będą zachowane prze aktualizacji. Zawsze można je zmienić z centrum konfiguracyjnego GNOME, dostępnego z menu w górnym prawym rogu po kliknięciu na ikonę "ustawienia".

Aktualizacja pakietu base-passwd spowoduje przypisanie pewnym użytkownikom powłoki "nologin". Dotyczy to poniższych użytkowników:

Jeżeli lokalna konfiguracja wymaga aby któryś z tych użytkowników posiadał powłokę, powinno się zrezygnować z migracji lub przeprowadzić migrację a następnie zmienić powłokę odpowiednim użytkowników. Istotnym przykładem może być wykonywanie lokalnych kopii zapasowych za pomocą użytkownika "backup" z uwierzytelnianiem "ssh-key".

	Ostrzeżenie
	Migracja odbędzie się automatycznie, jeśli ustawiono priorytet pytań debconfa na nie niższy niż "wysoki".

Aby zachować bieżącą powłokę dla danego użytkownika można wstępnie odpowiedzieć na pytania konfiguracyjne za pomocą poniższego polecenia:

echo 'base-passwd base-passwd/system/nazwa-użytkownika/shell/przetworzona-nazwa-powłoki/_usr_sbin_nologin boolean false' | debconf-set-selections

Gdzie nazwa-użytkownika jest nazwą użytkownika z pytania, a przetworzona-nazwa-powłoki jest nazwą powłoki przetworzoną zgodnie z zasadą, że wszystkie znaki inne niż cyfry, litery, minusy i podkreślniki są zastępowane przez podkreślniki. Przykładowo /bin/bash jest zapisane jako _bin_bash.

System Kontact Personal Information Management przeszedł dużą zmianę. Nowa wersja w znacznie większym stopniu korzysta z metadanych indeksujących, dlatego dane każdego użytkownika muszą przejść migrację.

Kontakty poczty, wpisy kalendarza i książki adresowej przechodzą migrację automatycznie, gdy dany użytkownik loguje się i uruchamia się dany komponent. Część zaawansowanych ustawień, takich jak filtry poczty i własne szablony wymagają ręcznych zmian. Więcej informacji i rozwiązań problemów znajduje się w wiki Debiana.

	Uwaga
	This issue is currently reported as fixed in Jessie. Should you still be able to reproduce it, then please follow up to Debian Bug#766462. Note that you may have to unarchive the issue first (please refer to the Debian BTS control server documentation on how to unarchive bugs).

Jeśli zainstalowano kilka środowisk graficznych może okazać się, że żadna z "konsoli wirtualnych" nie wyświetli ekranu logowania.

Ten problem występuje gdy zainstalowano razem plymouth, systemd i GNOME. Błąd zgłoszono pod numerem #766462.

Ze zgłoszeń wynika, że usunięcie argumentu "splash" z wiersza poleceń jądra może zapobiec występowaniu tego problemu. Proszę sprawdzić /etc/default/grub i pamiętać o uruchomieniu update-grub po aktualizacji tego pliku.

Znana jest niekompatybilność grub-pc ze starszymi kartami graficznymi (np. "ATI Rage 128 Pro Ultra TR") który powoduje wyświetlenie pustego ekranu podczas rozruchu. Monitor może również pokazać komunikat "VGA signal out of range" lub podobny.

Prostym rozwiązaniem problemu jest ustawienie GRUB_TERMINAL=console w /etc/default/grub.

Program crontab jest dokładniejszy i może odmówić zapisania pliku crona który jest nieprawidłowy. W przypadku problemów z crontab -e, proszę sprawdzić plik crontab pod kątem istniejących pomyłek.

Od wersji 5.18 (w tym 5.20 dostarczanej w wydaniu Jessie), Perl zakończy działanie z błędem krytycznym, jeżeli napotka na nieodczytywalną ścieżkę w @INC. Wcześniej pomijał takie wpisy. Zaleca się sprawdzenie zawartości @INC w środowisku użytkownika pod kątem katalogów które nie są do odczytu dla wszystkich i dokonanie odpowiednich zmian.

Można pokazać domyślne @INC Perla za pomocą polecenia perl -V.

Jeżeli klient zażąda otwarcia pliku do wykonania, Samba4 będzie wymagała, aby oprócz zwykłych uprawnień odczytu ustawiony był atrybut wykonywalności. Powoduje to również, że skrypty "netlogon" są po cichu ignorowane, jeżeli powyższy warunek nie jest spełniony.

	Uwaga
	Poniższy rozdział ma znaczenie jedynie w przypadku systemów w których ręcznie zmieniono /etc/initramfs-tools/initramfs.conf tak, aby nie był używany busybox.

Jeśli zainstalowano zarówno busybox jak cryptsetup oraz skonfigurowano initramfs tak, aby nie używać busybox, może to doprowadzić do braku możliwości rozruchu systemu.

Proszę sprawdzić wartość swojego ustawienia BUSYBOX w /etc/initramfs-tools/initramfs.conf jeśli zainstalowano oba omawiane pakiety. Obecnie znanym obejściem problemu jest odinstalowanie pakietu busybox lub ustawienie BUSYBOX=y w /etc/initramfs-tools/initramfs.conf.

	Ostrzeżenie
	Jeśli dokonano zmian, proszę pamiętać o wykonaniu update-initramfs -u aby zaktualizować swój initramfs. W przeciwnym razie ustawienie nie odniesienie pożądanego skutku.

Więcej informacji znajduje się w opisie błędu #783297.

	Uwaga
	This section only applies to people that have installed the squid webproxy.

The configuration of squid has changed in an incompatible way. Notably some of the squid "helpers" have changed their name. If your configuration relies on old features no longer present or on the old names for the helpers, your squid service may fail to start after the upgrade.

Please see the upstream release notes for more information. These are: