Capítulo 5. Problemas a serem considerados para a jessie

Há alguns pacotes onde o Debian não pode prometer fornecer portes retroativos mínimos para problemas de segurança. Esses são abordados nas subseções a seguir.

Note que o pacote debian-security-support, introduzido no Jessie, ajuda a acompanhar a situação do suporte de segurança dos pacotes instalados.

Em uma tentativa de fortalecer a configuração padrão, a configuração do openssh-server agora predefinirá "PermitRootLogin without-password". Caso você confie na autenticação por senha para o usuário root, você pode ser afetado por essa mudança.

O openssh-server tentará detectar esses casos e aumentar a prioridade dos seus avisos do debconf.

Caso você queira manter a autenticação por senha para o usuário root, você também pode predefinir esta pergunta usando:

# The "false" value is in fact correct despite being confusing.
$ echo 'openssh-server openssh-server/permit-root-login boolean false' | debconf-set-selections

Caso você esteja usando Puppet, por favor, esteja ciente de que o Puppet 3.7 não é compatível com o anterior Puppet 2.7. Além de outras coisas, as regras de escopo mudaram e muitas estruturas de controle (“constructs”) obsoletas foram removidas. Veja as notas de lançamento do Puppet 3.x para algumas das mudanças, apesar de estar ciente de que há mudanças adicionais no 3.7.

Verificar os arquivos de log do seu “puppetmaster” atual em busca de advertências de código obsoleto e resolver todas essas advertências antes de proceder com a atualização fará com que seja muito mais fácil completar a atualização. Alternativamente, ou adicionalmente, testar os manifestos com uma ferramenta como o teste de catálogo Puppet também pode encontrar possíveis problemas antes da atualização.

Quando atualizar um sistema gerenciado pelo Puppet de Wheezy para Jessie, você deve garantir que o puppetmaster correspondente execute, pelo menos, a versão 3.7 do Puppet. Caso o mestre esteja executando o puppetmaster do Wheezy, o sistema Jessie gerenciado não será capaz de conectar ao mesmo.

Para mais informações sobre as alterações incompatíveis, por favor, dê uma olhada em problemas de atualização Telly e “The Angry Guide to Puppet 3”.

A atualização para Jessie inclui uma atualização do PHP de 5.4 para 5.6. Isso pode afetar quaisquer scripts PHP e você é aconselhado a verificar esses scripts antes de atualizar. Abaixo, está um subconjunto selecionado desses problemas:

Para mais informações ou a lista completa de possíveis problemas, por favor, dê uma olhada na lista do upstream de mudanças incompatíveis com versões anteriores para o PHP 5.5 e 5.6.

	Nota
	Esta seção se aplica apenas a sistemas que tenham um servidor Apache HTTPD instalado e configurado manualmente.

Houve uma série de mudanças na configuração do servidor HTTPD Apache na versão 2.4. No lado do upstream, a sintaxe mudou. Notavelmente, as diretivas de controle de acesso mudaram consideravelmente e precisarão de migração manual para as novas diretivas.

O módulo mod_access_compat é mencionado no guia de atualização do upstream como uma alternativa possível para migração imediata. Porém, os relatos sugerem que ele pode nem sempre funcionar.

O gerenciamento dos arquivos de configuração também mudou no empacotamento do Debian. Em particular, todos os arquivos de configuração e sites agora devem terminar com “.conf” para serem analisados por padrão. Essa mudança também substitui o uso já existente do /etc/apache2/conf.d/.

	Nota
	Durante a atualização, você também pode ver avisos sobre arquivos de configuração colocados em /etc/apache2/conf.d/, que são fornecidos por pacotes do Debian. Este aviso é inevitável, mas inofensivo, pois os pacotes afetados moverão suas configurações uma vez que suas atualizações sejam concluídas (o que geralmente acontecerá depois que o HTTPD Apache emitir o seu alerta).

Para mais informações e a lista completa das mudanças, por favor, consulte:

A Jessie vem com o systemd-sysv como sistema init padrão. Esse pacote é instalado automaticamente nas atualizações.

Caso você tenha uma preferência por outro init, tal como sysvinit-core ou upstart, é recomendado configurar o pinning do APT antes da atualização. Isso também pode ser necessário se você estiver atualizando contêineres do LXC antes do hospedeiro. Nesse caso, por favor, consulte Seção 5.8.1, “Atualizando hóspedes LXC em execução sob hospedeiros Wheezy”.

Como um exemplo, para evitar que o systemd-sysv seja instalado durante a atualização, você pode criar um arquivo chamado /etc/apt/preferences.d/local-pin-init com o seguinte conteúdo:

Package: systemd-sysv
Pin: release o=Debian
Pin-Priority: -1

	Cuidado
	Esteja ciente de que alguns pacotes podem ter um comportamento degradado ou podem faltar recursos sob um sistema init não padrão.

Por favor, note que a atualização pode instalar pacotes contendo “systemd” em seu nome, mesmo com o pinning do APT. Esses sozinhos não alteram o seu sistema init. Para usar o systemd como o seu sistema init, o pacote systemd-sysv deve ser instalado primeiro.

Caso o APT ou aptitude tenham problemas para calcular um caminho de atualização com o pinning habilitado, é possível que você seja capaz de ajudá-los instalando manualmente tanto o sysvinit-core quanto o systemd-shim.

5.6.3. Scripts init modificados localmente podem precisar ser portados para o systemd

	Nota
	Esta seção se aplica apenas aos sistemas onde os scripts init fornecidos no Debian foram modificados localmente.

Caso você tenha modificado alguns dos scripts init fornecidos pelo Debian, por favor, esteja ciente que esses podem agora ter sido substituídos por um arquivo de unidade systemd ou pelo próprio systemd. Caso você tenha o debsums instalado, você pode verificar scripts init modificados localmente usando o seguinte comando shell.

debsums -c -e | grep ^/etc/init.d

Alternativamente, pode ser usado o seguinte na ausência do debsums.

dpkg-query --show -f'${Conffiles}' | sed 's, /,\n/,g' | \
  grep /etc/init.d | awk 'NF,OFS="  " {print $2, $1}' | \
  md5sum --quiet -c

Caso um dos comandos sinalize quaisquer arquivos e seus pacotes correspondentes ou o systemd agora forneça um arquivo de unidade systemd para esse serviço, o arquivo de unidade systemd prevalecerá sobre o seu script init modificado localmente. Dependendo da natureza da mudança, há formas diferentes de realizar a migração.

Caso necessário, é possível substituir o arquivo de unidade systemd para que inicie o script sysvinit. Para mais informações sobre arquivos de unidade systemd, por favor, dê uma olhada nos seguintes recursos.

• Como eu converto um script init SysV em um arquivo de serviço systemd?

• systemd.special — Unidades especiais systemd

• Meu serviço não consegue tempo real! (também contém uma menção bem curta sobre como invocar scripts init a partir de arquivos de unidade)

HandlePowerKey=ignore
HandleSuspendKey=ignore
HandleHibernateKey=ignore
HandleLidSwitch=ignore

grep -e precheck -e check -e checkargs -e noearly -e loud -e keyscript /etc/crypttab

5.6.7. systemd: envia SIGKILL muito cedo [corrigido na 8.1]

	Nota
	Esse problema foi corrigido no lançamento pontual Jessie 8.1.

Uma regressão foi relatada no systemd após o lançamento da Jessie. A falha ocorre durante o desligamento ou reinicialização, onde o systemd não dá nenhum atraso razoável antes de enviar SIGKILL aos processos. Isso pode levar à perda de dados em processos que não tenham salvado todos os dados no momento da reinicialização (por exemplo, bancos de dados em execução).

Esse problema é monitorado no bug #784720 do Debian

	Nota
	Esta seção é apenas para pessoas que compilam o seu próprio kernel. Caso você utilize os kernels compilados pelo Debian, pode ignorar esta seção.

As seguintes opções de configuração do kernel agora são necessárias ou recomendadas para a Jessie (além das existentes de versões anteriores):

# Necessária para udev
CONFIG_DEVTMPFS=y
# Necessária para *alguns* serviços do systemd
CONFIG_DEVPTS_MULTIPLE_INSTANCES=y
# Necessária para "bluez" (GNOME)
CONFIG_BT=y
# Necessária para cups + systemd.
CONFIG_PPDEV=y

Os serviços do systemd que requerem CONFIG_DEVPTS_MULTIPLE_INSTANCES=y tipicamente conterão, pelo menos, uma das seguintes diretivas:

PrivateTmp=yes
PrivateDevices=yes
PrivateNetwork=yes
ProtectSystem=yes

Se você não usar o systemd, ou puder afirmar que nenhum dos serviços do systemd usará as diretivas acima, a opção de configuração pode não ser necessária para o seu sistema em particular.

Para mais informações sobre os requisitos, por favor, consulte a seção chamada “REQUIREMENTS” no arquivo README para o pacote systemd.

	Nota
	Esta seção se aplica apenas a sistemas que tenham contêineres e hospedeiros LXC. Sistemas de usuários finais normais geralmente não dispõem disso.

A atualização de Wheezy para Jessie migrará o seu sistema para o sistema init systemd por padrão (veja Seção 5.6, “A atualização instala o novo sistema init padrão para Jessie”).

Ao atualizar um contêiner LXC ou uma máquina virtual LXC, isso terá diferentes consequências dependendo se o sistema do hospedeiro já tiver sido atualizado para Jessie ou não.

lxc.autodev = 1
lxc.kmsg = 0

	Nota
	Esta seção é apenas para pessoas que criaram discos criptografados com LUKS utilizando a hash whirlpool. O debian-installer nunca suportou a criação de tais discos.

Caso você tenha configurado manualmente um disco criptografado com LUKS whirlpool, precisará migrá-lo manualmente para uma hash mais forte. Você pode verificar se o seu disco está usando whirlpool utilizando o seguinte comando:

# /sbin/cryptsetup luksDump <disk-device> | grep -i whirlpool

Para mais informações sobre migração, por favor, veja o item “8.3 Gcrypt 1.6.x and later break Whirlpool” da FAQ cryptsetup.

	Cuidado
	Caso você tenha um tal disco, o cryptsetup recusará descriptografá-lo por padrão. Caso o seu disco raiz ou outros discos de sistema (por exemplo, /usr) estejam criptografados com whirlpool, você deve migrá-los antes da primeira reinicialização após atualizar o cryptsetup.

A área de trabalho GNOME 3.14 na Jessie não tem mais suporte alternativo para máquinas sem placas gráficas 3D básicas. Para funcionar adequadamente, é necessário um PC suficientemente recente (qualquer PC fabricado nos últimos 10 anos deve ter o suporte necessário a SSE2) ou, para arquiteturas diferentes de i386 e amd64, um adaptador gráfico com aceleração 3D com drivers EGL.

Ao contrário de outros drivers OpenGL, o driver FGLRX da AMD para placas Radeon não suporta a interface EGL. Como tal, vários aplicativos GNOME, incluindo o núcleo da área de trabalho GNOME, não iniciarão quando esse driver estiver em uso.

Em vez disso, é recomendado usar o driver livre radeon, que é o padrão na jessie.

O atalhos de teclado padrão na área de trabalho GNOME mudaram para melhor corresponder aos utilizados em alguns outros sistemas operacionais.

As definições de atalho previamente modificadas pelo usuário serão preservadas na atualização. Essas definições ainda podem ser configuradas pelo centro de controle do GNOME, acessível a partir do menu superior direito, clicando no ícone “configurações”.

A atualização do pacote base-passwd redefinirá o shell de alguns usuários do sistema para o shell “nologin”. Isso inclui os seguintes usuários:

Caso a sua configuração local necessite que qualquer um desses usuários tenha um shell, você deve dizer não à migração, ou migrar e então mudar o shell dos usuários correspondentes. Exemplos notáveis incluem backups locais feitos através do usuário “backup” com autenticação “ssh-key”.

	Cuidado
	A migração acontecerá automaticamente se a sua prioridade de pergunta do debconf for “alta” ou superior.

Caso você saiba que quer manter o shell atual de um determinado usuário, você pode pré-configurar as perguntas usando o seguinte:

echo 'base-passwd base-passwd/system/nome_do_usuario/shell/shell-atual-modificado/_usr_sbin_nologin boolean false' | debconf-set-selections

Onde nome_do_usuario é o nome do usuário em questão e shell-atual-modificado é o nome modificado do shell. A modificação é feita substituindo todos os caracteres que não sejam alfanuméricos, hifens e sublinhados por sublinhados. Por exemplo, /bin/bash torna-se _bin_bash.

O sistema de gerenciamento de informações pessoais Kontact recebeu uma grande atualização. A nova versão torna muito maior o uso da indexação de metadados e os dados de cada usuário devem ser migrados para esses novos índices.

E-mail, eventos do calendário e contatos da lista de endereços são automaticamente migrados quando o usuário fizer login e o componente relevante for iniciado. Algumas configurações avançadas, tais como filtros de e-mail e modelos personalizados, necessitam de intervenção manual. Detalhes adicionais e sugestões de solução de problemas estão coletados na Wiki do Debian.

	Nota
	Esse problema está atualmente relatado como corrigido na Jessie. Se você ainda for capaz de reproduzi-lo, então, por favor, acompanhe o bug #766462 do Debian. Note que você pode ter que desarquivar o problema primeiro (por favor, consulte a documentação do servidor de controle BTS do Debian sobre como desarquivar bugs).

Caso você tenha múltiplos ambientes de área de trabalho instalados, é possível que nenhum dos “consoles virtuais” apresente um aviso de login.

Esse problema parece ocorrer quando plymouth, systemd e GNOME estão todos instalados. Esse problema está relatado como bug #766462 do Debian.

Foi relatado que removendo o argumento “splash” da linha de comando do kernel pode-se contornar o problema. Por favor, veja o /etc/default/grub e lembre-se de executar update-grub após atualizar o arquivo.

Há um problema de compatibilidade no grub-pc com placas gráficas mais antigas (por exemplo, a “ATI Rage 128 Pro Ultra TR”) que pode fazer com que uma tela em branco seja mostrada durante a inicialização. O monitor pode emitir uma mensagem “VGA signal out of range” (ou algo semelhante).

Uma solução simples é definir GRUB_TERMINAL=console em /etc/default/grub.

O programa crontab agora é mais rigoroso e pode se recusar a salvar um arquivo cron modificado caso ele seja inválido. Caso você tenha problemas com o crontab -e, por favor, revise o seu crontab em busca de erros existentes.

A partir da versão 5.18 (e 5.20, que está incluída na Jessie), o Perl sairá com um erro fatal caso ele encontre caminhos de módulo ilegíveis em @INC. O comportamento anterior era ignorar tais entradas. É recomendado verificar o conteúdo do @INC em seu ambiente em busca de diretórios que não possam ser lidos por todo mundo e tomar a medida apropriada.

Você pode ver o @INC padrão para Perl executando perl -V.

Caso um cliente solicite que um arquivo deve ser “aberto para execução”, o Samba4 exigirá que o bit executável esteja ativado no arquivo, além das permissões normais de leitura. Isso também faz com que os scripts “netlogon” sejam silenciosamente ignorados caso eles não tenham esse bit executável ativado.

	Nota
	Esta seção se aplica apenas a pessoas que alteraram manualmente o seu /etc/initramfs-tools/initramfs.conf para não usar o busybox.

Caso você tenha tanto o busybox quanto o cryptsetup instalados, além do initramfs configurado para não usar o busybox, então ele pode tornar o seu sistema não inicializável.

Por favor, verifique o valor do sua configuração do BUSYBOX no /etc/initramfs-tools/initramfs.conf caso você tenha ambos os pacotes instalados. Neste momento, alternativas conhecidas são desinstalar o busybox ou definir BUSYBOX=y no /etc/initramfs-tools/initramfs.conf.

	Atenção
	Caso você tenha que fazer alguma mudança, por favor, lembre-se de executar update-initramfs -u para atualizar o seu initramfs. Caso contrário, você ainda pode acabar com uma inicialização quebrada.

Por favor, veja o bug #783297 do Debian para mais informações.

	Nota
	This section only applies to people that have installed the squid webproxy.

The configuration of squid has changed in an incompatible way. Notably some of the squid "helpers" have changed their name. If your configuration relies on old features no longer present or on the old names for the helpers, your squid service may fail to start after the upgrade.

Please see the upstream release notes for more information. These are: