5. Kwesties waarvan u zich bewust moet zijn bij trixie

Soms hebben veranderingen die in een nieuwe uitgave geïntroduceerd worden, neveneffecten die redelijkerwijs niet te vermijden zijn en soms brengen zij ergens anders bugs aan het licht. In dit hoofdstuk behandelen we kwesties waarvan wij ons bewust zijn. Gelieve ook de errata te lezen, de documentatie bij de betreffende pakketten, de bugrapporten en de andere informatiebronnen die vermeld worden in Literatuurverwijzingen.

5.1. Waar u op moet letten bij het opwaarderen naar trixie

Deze paragraaf behandelt onderwerpen die verband houden met de opwaardering van bookworm naar trixie.

5.1.1. Onderbroken opwaarderingen op afstand

Een probleem in OpenSSH in bookworm kan leiden tot ontoegankelijke externe systemen als een opwaardering die via een SSH-verbinding wordt beheerd, wordt onderbroken. Gebruikers kunnen mogelijk geen verbinding meer maken met het externe systeem om de opwaardering te hervatten.

Bijgewerkte pakketten voor bookworm zullen dit probleem in Debian 12.12 oplossen, maar deze release was nog in voorbereiding op het moment dat trixie werd uitgebracht. Gebruikers die van plan zijn om opwaarderingen uit te voeren op externe systemen via een SSH-verbinding, wordt aangeraden om eerst OpenSSH te updaten naar versie 1:9.2p1-2+deb12u7 of hoger via het mechanisme van stable-updates.

5.1.2. Verminderde ondersteuning voor i386

Vanaf trixie wordt i386 niet langer ondersteund als reguliere architectuur: er is geen officiële kernel en geen Debian-installatieprogramma voor i386-systemen. Er zijn minder pakketten beschikbaar voor i386 omdat veel projecten deze architectuur niet langer ondersteunen. Het enige resterende doel van de architectuur is het ondersteunen van het uitvoeren van oudere code, bijvoorbeeld door middel van multiarch of een chroot op een 64-bits (amd64) systeem.

De i386-architectuur is nu alleen bedoeld voor gebruik op een 64-bits (amd64) CPU. De instructiesetvereisten omvatten SSE2-ondersteuning, waardoor het niet succesvol zal werken op de meeste 32-bits CPU-types die door Debian 12 werden ondersteund.

Gebruikers met i386-systemen moeten niet opwaarderen naar trixie. In plaats daarvan raadt Debian aan om ze waar mogelijk opnieuw te installeren als amd64, of de hardware buiten gebruik te stellen. Een kruiselingse opwaardering zonder opnieuw te installeren is technisch mogelijk, maar een risicovol alternatief.

5.1.3. Laatste release voor armel

Vanaf Trixie wordt armel niet langer ondersteund als reguliere architectuur: er is geen Debian-installatieprogramma voor armel-systemen en alleen Raspberry Pi 1, Zero en Zero W worden ondersteund door de kernelpakketten.

Gebruikers die armel-systemen gebruiken, kunnen opwaarderen naar trixie, op voorwaarde dat hun hardware wordt ondersteund door de kernelpakketten of dat ze een kernel van een derde partij gebruiken.

trixie zal de laatste release voor de armel-architectuur zijn. Debian raadt aan om, waar mogelijk, armel-systemen opnieuw te installeren als armhf of arm64, of de hardware buiten gebruik te stellen.

5.1.4. MIPS-architecturen verwijderd

Vanaf trixie worden de architecturen mipsel en mips64el niet langer ondersteund door Debian. Gebruikers van deze architecturen wordt aangeraden om over te stappen op andere hardware.

5.1.5. Zorg ervoor dat er voldoende vrije ruimte is in /boot

De Linux-kernel en firmwarepakketten zijn aanzienlijk in omvang toegenomen in eerdere Debian-releases en in trixie. Als gevolg hiervan is uw /boot-partitie mogelijk te klein, waardoor de opwaardering mislukt. Als uw systeem is geïnstalleerd met Debian 10 (buster) of eerder, is de kans groot dat uw systeem hierdoor wordt getroffen.

Voordat u met de opwaardering begint, moet u ervoor zorgen dat uw /boot-partitie minimaal 768 MB groot is en ongeveer 300 MB vrije ruimte heeft. Als uw systeem geen aparte /boot-partitie heeft, hoeft u niets te doen.

Als /boot zich op een LVM bevindt en te klein is, kunt u lvextend gebruiken om de grootte van een LVM-partitie uit te breiden. Als /boot een aparte partitie is, is het waarschijnlijk eenvoudiger om het systeem opnieuw te installeren.

5.1.6. De map met tijdelijke bestanden /tmp wordt nu opgeslagen in een tmpfs

Vanaf trixie is de standaardinstelling om de map /tmp/ in het geheugen op te slaan met behulp van een bestandssysteem, tmpfs(5). Dit zou toepassingen die tijdelijke bestanden gebruiken sneller moeten maken, maar als u daar grote bestanden opslaat, kan het geheugen vol raken.

Voor systemen die zijn opgewaardeerd vanaf bookworm, wordt het nieuwe gedrag pas na een herstart geactiveerd. Bestanden die in /tmp achterblijven, worden verborgen nadat het nieuwe tmpfs is aangekoppeld, wat leidt tot waarschuwingen in het systeemlogboek of in syslog. Dergelijke bestanden zijn toegankelijk via een bind-mount (zie mount(1)): door mount --bind / /mnt uit te voeren, wordt de onderliggende map toegankelijk via /mnt/tmp (voer umount /mnt uit zodra u de oude bestanden hebt opgeruimd).

Standaard wordt maximaal 50% van het geheugen toegewezen aan /tmp (dit is een maximum: het geheugen wordt alleen gebruikt wanneer er daadwerkelijk bestanden worden aangemaakt in /tmp). U kunt de grootte wijzigen door als root systemctl edit tmp.mount uit te voeren en bijvoorbeeld het volgende in te stellen:

[Mount]
Options=mode=1777,nosuid,nodev,size=2G

(zie systemd.mount(5)).

U kunt terugkeren naar /tmp als een gewone map door als root systemctl mask tmp.mount uit te voeren en opnieuw op te starten.

De nieuwe standaardinstellingen voor het bestandssysteem kunnen ook worden overschreven in /etc/fstab, zodat systemen die al een aparte /tmp-partitie definiëren, niet worden beïnvloed.

5.1.7. openssh-server leest niet langer ~/.pam_environment

De achtergronddienst Secure Shell (SSH) in het pakket openssh-server, waarmee inloggen vanaf externe systemen mogelijk is, leest standaard niet langer het bestand ~/.pam_environment van de gebruiker; deze functie heeft een geschiedenis van beveiligingsproblemen en is in de huidige versies van de bibliotheek voor Pluggable Authentication Modules (PAM) afgeschaft. Als u deze functie gebruikte, moet u overschakelen van het instellen van variabelen in ~/.pam_environment naar het instellen ervan in uw shell-initialisatiebestanden (bijv. ~/.bash_profile of ~/.bashrc) of een ander soortgelijk mechanisme.

Bestaande SSH-verbindingen worden niet beïnvloed, maar nieuwe verbindingen kunnen zich na de opwaardering anders gedragen. Als u op afstand een opwaardering uitvoert, is het doorgaans een goed idee om ervoor te zorgen dat u op een andere manier kunt inloggen op het systeem voordat u met de opwaardering begint; zie Tref voorbereidingen om een hersteloperatie te kunnen uitvoeren.

5.1.8. OpenSSH ondersteunt geen DSA-sleutels meer

DSA-sleutels (Digital Signature Algorithm), zoals gespecificeerd in het SSH-protocol (Secure Shell), zijn inherent zwak: ze zijn beperkt tot privésleutels van 160-bits en het hashtype SHA-1. De SSH-implementatie van de pakketten openssh-client en openssh-server heeft de ondersteuning voor DSA-sleutels standaard uitgeschakeld sinds OpenSSH 7.0p1 in 2015, uitgebracht met Debian 9 (“stretch”), hoewel deze nog steeds kon worden ingeschakeld met de configuratieopties HostKeyAlgorithms en PubkeyAcceptedAlgorithms voor respectievelijk host- en gebruikerssleutels.

Het enige resterende gebruik van DSA op dit moment zou het verbinden met enkele zeer oude apparaten moeten zijn. Voor alle andere doeleinden zijn de andere sleuteltypes die door OpenSSH worden ondersteund (RSA, ECDSA en Ed25519) superieur.

Vanaf OpenSSH 9.8p1 in trixie worden DSA-sleutels niet langer ondersteund, zelfs niet met de bovenstaande configuratieopties. Als u een apparaat hebt waarmee u alleen verbinding kunt maken met DSA, kunt u daarvoor het commando ssh1 gebruiken dat wordt geleverd door het pakket openssh-client-ssh1.

In het onwaarschijnlijke geval dat u nog steeds DSA-sleutels gebruikt om verbinding te maken met een Debian-server (als u het niet zeker weet, kunt u dit controleren door de optie -v toe te voegen aan de ssh-opdrachtregel die u gebruikt om verbinding te maken met die server en te zoeken naar de regel “Server accepts key:”), moet u vervangende sleutels genereren voordat u een upgrade uitvoert. Om bijvoorbeeld een nieuwe Ed25519-sleutel te genereren en aanmeldingen op een server via deze sleutel mogelijk te maken, voert u het volgende uit op de client, waarbij u gebruikersnaam@server vervangt door de juiste gebruikers- en hostnaam:

$ ssh-keygen -t ed25519
$ ssh-copy-id username@server

5.1.9. De commando’s last, lastb en lastlog zijn vervangen

Het pakket util-linux levert de opdrachten last en lastb niet meer, en het pakket login levert lastlog niet meer. Deze commando’s gaven informatie over eerdere inlogpogingen met behulp van /var/log/wtmp, /var/log/btmp, /var/run/utmp en /var/log/lastlog, maar deze bestanden zullen na 2038 niet meer bruikbaar zijn omdat ze onvoldoende ruimte toewijzen om de inlogtijd op te slaan (het 2038-probleem), en de bovenstroomse ontwikkelaars willen de bestandsindeling niet wijzigen. De meeste gebruikers hoeven deze commando’s niet te vervangen, maar het pakket util-linux biedt het commando lslogins dat u kan vertellen wanneer accounts voor het laatst zijn gebruikt.

Er zijn twee directe vervangingen beschikbaar: last kan worden vervangen door wtmpdb uit het pakket wtmpdb (het pakket libpam-wtmpdb moet ook geïnstalleerd zijn) en lastlog kan worden vervangen door lastlog2 uit het pakket lastlog2 (libpam-lastlog2 moet ook geïnstalleerd zijn). Als u deze wilt gebruiken, moet u de nieuwe pakketten na de opwaardering installeren. Zie util-linux NEWS.Debian voor meer informatie. De opdracht lslogins --failed geeft vergelijkbare informatie als lastb.

Als u wtmpdb niet installeert, raden we u aan oude logbestanden /var/log/wtmp* te verwijderen. Als u wtmpdb wel installeert, wordt /var/log/wtmp opgewaardeerd en kunt u oudere wtmp-bestanden lezen met wtmpdb import -f <bestemming>. Er is geen tool om de bestanden /var/log/lastlog* en /var/log/btmp* te lezen: deze kunnen na de opwaardering worden verwijderd.

5.1.10. Versleutelde bestandssystemen hebben het pakket systemd-cryptsetup nodig

Ondersteuning voor het automatisch detecteren en aankoppelen van versleutelde bestandssystemen is verplaatst naar het nieuwe pakket systemd-cryptsetup. Dit nieuwe pakket wordt aanbevolen door systemd en zou dus automatisch moeten worden geïnstalleerd bij opwaarderingen.

Zorg ervoor dat het pakket systemd-cryptsetup is geïnstalleerd voordat u opnieuw opstart, als u versleutelde bestandssystemen gebruikt.

5.1.11. Standaardinstellingen voor versleuteling voor dm-crypt-apparaten in de modus plain gewijzigd

De standaardinstellingen voor dm-crypt-apparaten die zijn gemaakt met de versleutelingsmodus plain (zie crypttab(5)) zijn gewijzigd om de beveiliging te verbeteren. Dit kan problemen veroorzaken als u de instellingen in /etc/crypttab niet hebt vastgelegd. De aanbevolen manier om apparaten in modus plain te configureren, is door de opties cipher, size en hash vast te leggen in /etc/crypttab; anders gebruikt cryptsetup standaardwaarden en de standaardinstellingen voor algoritmes cipher en hash zijn gewijzigd in trixie, waardoor dergelijke apparaten als willekeurige gegevens worden weergegeven totdat ze correct zijn geconfigureerd.

Dit geldt niet voor LUKS-apparaten, omdat LUKS de instellingen in het apparaat zelf vastlegt.

Om uw apparaten die de modus plain gebruiken, correct te configureren, ervan uitgaande dat ze zijn aangemaakt met de standaardinstellingen van bookworm, moet u cipher=aes-cbc-essiv:sha256,size=256,hash=ripemd160 toevoegen aan /etc/crypttab.

Om toegang te krijgen tot dergelijke apparaten met cryptsetup op de commandoregel, kunt u --cipher aes-cbc-essiv:sha256 --key-size 256 --hash ripemd160 gebruiken. Debian raadt u aan permanente apparaten te configureren met LUKS, of als u de modus plain gebruikt, alle vereiste versleutelingsinstellingen expliciet vast te leggen in /etc/crypttab. De nieuwe standaardinstellingen zijn cipher=aes-xts-plain64 en hash=sha256.

5.1.12. RabbitMQ ondersteunt geen HA-wachtrijen meer

HA-wachtrijen (High-availability wachtrijen of wachtrijen met hoge beschikbaarheid) worden vanaf trixie niet langer ondersteund door rabbitmq-server. Om een HA-configuratie te kunnen blijven gebruiken, moeten deze wachtrijen worden omgezet naar “quorum-wachtrijen”.

Als u een OpenStack-implementatie hebt, schakel dan de wachtrijen over naar quorum voordat u een opwaardering uitvoert. Houd er ook rekening mee dat OpenStack vanaf de release van “Caracal” in trixie alleen quorum-wachtrijen ondersteunt.

5.1.13. RabbitMQ kan niet rechtstreeks worden opgewaardeerd vanuit bookworm

Er bestaat geen directe, eenvoudige manier om RabbitMQ van bookworm naar trixie op te waarderen. Details over dit probleem zijn te vinden in bug 1100165.

De aanbevolen opwaarderingsprocedure is om de RabbitMQ-database volledig te wissen en de dienst opnieuw te starten (na de opwaardering naar trixie). Dit kan worden gedaan door /var/lib/rabbitmq/mnesia en alle inhoud ervan te verwijderen.

5.1.14. Opwaarderingen tussen hoofdversies van MariaDB werken alleen betrouwbaar na een correcte afsluiting

MariaDB ondersteunt geen foutherstel tussen verschillende hoofdversies. Als bijvoorbeeld een MariaDB 10.11-server abrupt is afgesloten door stroomuitval of een softwarefout, moet de database opnieuw worden opgestart met hetzelfde MariaDB 10.11-programma. Dit is nodig om succesvol foutherstel uit te voeren en de gegevensbestanden en logbestanden te synchroniseren om onderbroken transacties terug te draaien of te herstellen.

Als u probeert om een crashherstel uit te voeren met MariaDB 11.8 met behulp van de gegevensmap van een gecrashte MariaDB 10.11-server, zal de nieuwere MariaDB-server weigeren op te starten.

Om ervoor te zorgen dat een MariaDB-server netjes wordt afgesloten voordat u een opwaardering van een hoofdversie uitvoert, stopt u de dienst met

# service mariadb stop

en controleert u vervolgens de serverlogboeken op Shutdown complete om te bevestigen dat het wegschrijven van alle gegevens en buffers naar de schijf succesvol is voltooid.

Als de server niet correct is afgesloten, start u hem opnieuw op om het herstel na een crash te activeren, wacht u even, sluit u hem opnieuw af en controleert u of deze tweede poging correct is verlopen.

Voor meer informatie over het maken van back-ups en andere relevante informatie voor systeembeheerders, zie /usr/share/doc/mariadb-server/README.Debian.gz.

5.1.15. Ping wordt niet langer uitgevoerd met verhoogde rechten

De standaardversie van ping (geleverd door iputils-ping) wordt niet langer geïnstalleerd met toegang tot de Linux-functionaliteit CAP_NET_RAW, maar gebruikt in plaats daarvan ICMP_PROTO-datagramsockets voor netwerkcommunicatie. De toegang tot deze sockets wordt beheerd op basis van het Unix-groepslidmaatschap van de gebruiker met behulp van de sysctl net.ipv4.ping_group_range. Bij normale installaties stelt het pakket linux-sysctl-defaults deze waarde in op een breed toegestane waarde, waardoor gebruikers zonder privileges ping zoals verwacht kunnen gebruiken. Bij sommige opwaarderingsscenario’s wordt dit pakket echter niet automatisch geïnstalleerd. Zie /usr/lib/sysctl.d/50-default.conf en de kerneldocumentatie voor meer informatie over de semantiek van deze variabele.

5.1.16. De naam van netwerkinterfaces kan veranderen

Gebruikers van systemen zonder eenvoudig out-of-band beheer wordt aangeraden voorzichtig te werk te gaan, aangezien we op de hoogte zijn van twee gevallen waarin de door trixie-systemen toegewezen netwerkinterfacenamen kunnen verschillen van die van bookworm. Dit kan leiden tot een verbroken netwerkverbinding bij het opnieuw opstarten om de opwaardering te voltooien.

Het is moeilijk om vooraf te bepalen of een bepaald systeem wordt getroffen zonder een gedetailleerde technische analyse. Configuraties waarvan bekend is dat ze problematisch zijn, zijn de volgende:

  • Systemen die gebruikmaken van de Linux i40e NIC-driver, zie bug #1107187.

  • Systemen waar de firmware het ACPI-tabelobject _SUN zichtbaar maakt. Voorheen werd dit standaard genegeerd in bookworm (systemd.net-naming-scheme v252), maar nu wordt het door systemd v257 in trixie wel gebruikt. Zie bug #1092176.

    U kunt het commando $ udevadm test-builtin net_setup_link gebruiken om te zien of de wijziging in systemd alleen al een andere naam zou opleveren. Dit moet worden gedaan vlak voordat u opnieuw opstart om de opwaardering te voltooien. Bijvoorbeeld:

# After apt full-upgrade, but before reboot
$ udevadm test-builtin net_setup_link /sys/class/net/enp1s0 2>/dev/null
ID_NET_DRIVER=igb
ID_NET_LINK_FILE=/usr/lib/systemd/network/99-default.link
ID_NET_NAME=ens1  #< Notice the final ID_NET_NAME name is not "enp1s0"!

Gebruikers die willen dat namen tijdens de opwaardering stabiel blijven, wordt aangeraden om systemd.link-bestanden aan te maken om de huidige naam vóór de opwaardering vast te zetten.

5.1.17. Wijzigingen in de configuratie van Dovecot

De e-mailserversuite dovecot gebruikt in trixie een configuratieformaat dat niet compatibel is met eerdere versies. Details over de configuratiewijzigingen zijn beschikbaar op docs.dovecot.org.

Om mogelijk langdurige onbeschikbaarheid te voorkomen, wordt u sterk aangeraden om uw configuratie naar een testomgeving over te zetten voordat u begint met het opwaarderen van een e-mailsysteem voor productiedoeleinden.

Houd er ook rekening mee dat bovenstrooms sommige functies in v2.4 zijn verwijderd. Met name de replicator is verdwenen. Als u afhankelijk bent van die functie, is het raadzaam om niet op te waarderen naar trixie totdat u een alternatief hebt gevonden.

5.1.18. Belangrijke wijzigingen in de verpakking van libvirt

Het pakket libvirt-daemon, dat een API en toolkit biedt voor het beheer van virtualisatieplatforms, is in trixie vernieuwd. Elke driver en storage-backend wordt nu geleverd in een apart binair pakket, wat veel meer flexibiliteit biedt.

Bij een opwaardering vanuit bookworm wordt er zorgvuldig over gewaakt dat de bestaande set componenten behouden blijft, maar in sommige gevallen kan de functionaliteit tijdelijk verloren gaan. We raden u aan de lijst met geïnstalleerde binaire pakketten na de opwaardering zorgvuldig te controleren om er zeker van te zijn dat alle verwachte pakketten aanwezig zijn; dit is ook een goed moment om te overwegen ongewenste componenten te verwijderen.

Bovendien kunnen sommige configuratiebestanden na de upgrade als “verouderd” worden gemarkeerd. Het bestand /usr/share/doc/libvirt-common/NEWS.Debian.gz bevat aanvullende informatie over hoe u kunt controleren of uw systeem last heeft van dit probleem en hoe u dit kunt oplossen.

5.1.19. Samba: wijzigingen in de verpakking van Active Directory Domain Controller

De functionaliteit van de Active Directory Domain Controller (AD-DC) is afgesplitst van samba. Als u deze functie gebruikt, moet u het pakket samba-ad-dc installeren.

5.1.20. Samba: VFS-modules

Het pakket samba-vfs-modules is gereorganiseerd. De meeste VFS-modules zijn nu opgenomen in het pakket samba. De modules voor ceph en glusterfs zijn echter opgesplitst in samba-vfs-ceph en samba-vfs-glusterfs.

5.1.21. OpenLDAP TLS nu beschikbaar gesteld door OpenSSL

De TLS-ondersteuning in de OpenLDAP-client libldap2 en server slapd wordt nu geleverd door OpenSSL in plaats van GnuTLS. Dit heeft invloed op de beschikbare configuratieopties en het gedrag ervan.

Details over de gewijzigde opties kunt u vinden in /usr/share/doc/libldap2/NEWS.Debian.gz.

Als er geen TLS CA-certificaten zijn opgegeven, wordt de standaard vertrouwensopslagplaats van het systeem nu automatisch geladen. Als u niet wilt dat de standaard CA’s worden gebruikt, moet u de vertrouwde CA’s expliciet configureren.

Voor meer informatie over de configuratie van de LDAP-client, zie de manpagina ldap.conf.5. Voor de LDAP-server (slapd), zie /usr/share/doc/slapd/README.Debian.gz en de manpagina slapd-config.5.

5.1.22. bacula-director: databaseschema-update vereist grote hoeveelheden schijfruimte en tijd

De Bacula-database ondergaat een substantiële schemawijziging tijdens de opwaardering naar trixie.

Het opwaarderen van de database kan uren of zelfs dagen duren, afhankelijk van de grootte van de database en de prestaties van uw databaseserver.

Voor de opwaardering is tijdelijk ongeveer het dubbele van de huidige schijfruimte op de databaseserver nodig, plus voldoende ruimte om een back-updump van de Bacula-database in /var/cache/dbconfig-common/backups te bewaren.

Als u tijdens de opwaardering onvoldoende schijfruimte hebt, kan uw database beschadigd raken en functioneert uw Bacula-installatie mogelijk niet meer correct.

5.1.23. dpkg: waarschuwing: kan de oude map niet verwijderen: …

Tijdens de upgrade zal dpkg voor verschillende pakketten waarschuwingen zoals hieronder weergeven. Dit komt doordat het project usrmerge is afgerond en de waarschuwingen kunnen veilig worden genegeerd.

Unpacking firmware-misc-nonfree (20230625-1) over (20230515-3) ...
dpkg: warning: unable to delete old directory '/lib/firmware/wfx': Directory not empty
dpkg: warning: unable to delete old directory '/lib/firmware/ueagle-atm': Directory not empty

5.1.24. Opwaarderingen tussen elkaar niet opvolgende releases worden niet ondersteund

Net als bij elke andere Debian-release moeten opwaarderingen worden uitgevoerd vanaf de vorige release. Ook moeten alle updates van tussenreleases worden geïnstalleerd. Zie Beginnen vanuit “zuiver” Debian.

Het overslaan van releases bij het opwaarderen wordt expliciet niet ondersteund.

Voor trixie is het voor de afronding van het project usrmerge noodzakelijk dat de opwaardering naar bookworm voltooid is voordat de opwaardering naar trixie gestart kan worden.

5.1.25. WirePlumber heeft een nieuw configuratiesysteem

WirePlumber heeft een nieuw configuratiesysteem. Voor de standaardconfiguratie hoeft u niets te doen; voor aangepaste instellingen zie /usr/share/doc/wireplumber/NEWS.Debian.gz.

5.1.26. strongSwan migratie naar een nieuwe charon-achtergronddienst

De strongSwan IKE/IPsec-suite migreert van de oude charon-daemon (dat de opdracht ipsec(8) gebruikt en geconfigureerd wordt in /etc/ipsec.conf) naar charon-systemd (dat beheerd wordt met de tools swanctl(8) en geconfigureerd wordt in /etc/swanctl/conf.d). De trixie-versie van het strongswan-metapakket haalt de nieuwe vereisten op, maar bestaande installaties worden niet beïnvloed zolang charon-daemon geïnstalleerd blijft. Gebruikers wordt geadviseerd hun installatie te migreren naar de nieuwe configuratie via de bovenstoomse migratiepagina.

5.1.27. udev-eigenschappen van sg3-utils ontbreken

Vanwege bug 1109923 in sg3-utils ontvangen SCSI-apparaten niet alle eigenschappen uit de “udev”-database. Als uw installatie afhankelijk is van eigenschappen die door het pakket sg3-utils-udev worden geïnjecteerd, migreer er dan van weg of wees voorbereid op het debuggen van fouten na het opnieuw opstarten in trixie.

5.1.28. Dingen die u moet doen voordat u opnieuw opstart

Wanneer apt full-upgrade beëindigd is, is de opwaardering “formeel” afgerond. Bij de opwaardering naar trixie zijn er geen speciale acties meer nodig voordat u de computer herstart.

5.2. Items die niet beperkt zijn tot het opwaarderingsproces

5.2.1. De mappen /tmp en /var/tmp worden nu regelmatig opgeschoond

Bij nieuwe installaties verwijdert systemd-tmpfiles nu regelmatig oude bestanden in /tmp en /var/tmp terwijl het systeem operationeel is. Deze wijziging maakt Debian consistent met andere distributies. Omdat er een klein risico op gegevensverlies bestaat, is het “opt-in” gemaakt: bij een opwaardering naar trixie wordt een bestand /etc/tmpfiles.d/tmp.conf aangemaakt dat het oude gedrag herstelt. Dit bestand kan worden verwijderd om de nieuwe standaard te gebruiken, of worden bewerkt om aangepaste regels te definiëren. In de rest van deze sectie wordt de nieuwe standaard uitgelegd en ook hoe u deze kunt aanpassen.

De nieuwe standaardinstelling is dat bestanden in /tmp automatisch worden verwijderd 10 dagen nadat ze voor het laatst zijn gebruikt (en na een herstart). Bestanden in /var/tmp worden na 30 dagen verwijderd (maar niet na een herstart).

Voordat u de nieuwe standaardinstellingen invoert, moet u lokale programma’s die gegevens gedurende langere tijd in /tmp of /var/tmp opslaan, aanpassen zodat ze alternatieve locaties gebruiken, zoals ~/tmp/. U kunt ook systemd-tmpfiles opdragen het gegevensbestand uit te sluiten van verwijdering door een bestand local-tmp-files.conf te maken in /etc/tmpfiles.d met regels zoals:

x /var/tmp/my-precious-file.pdf
x /tmp/foo

Zie systemd-tmpfiles(8) en tmpfiles.d(5) voor meer informatie.

5.2.2. systemd-bericht: System is tainted: unmerged-bin

De bovenstroomse ontwikkelaars van systemd beschouwen systemen met aparte mappen /usr/bin en /usr/sbin sinds versie 256 als opmerkelijk. Bij het opstarten geeft systemd een melding om dit feit vast te leggen: System is tainted: unmerged-bin (systeem is aangetast: geen samengevoegde bin).

Het is raadzaam deze melding te negeren. Het handmatig samenvoegen van deze mappen wordt niet ondersteund en zal toekomstige opwaarderingen verstoren. Meer informatie is te vinden in bug #1085370.

5.2.3. Beperkingen inzake beveiligingsondersteuning

Voor sommige pakketten kan Debian niet garanderen dat er bij veiligheidsproblemen minimale backports (oplossingen overgenomen van een recentere pakketversie) beschikbaar gesteld zullen worden. Daarover handelen de volgende paragrafen.

Notitie

Het pakket debian-security-support helpt om de situatie op het gebied van beveiligingsondersteuning van geïnstalleerde pakketten na te gaan.

5.2.3.1. Beveiligingstoestand van webbrowsers en hun weergavemechanismen

Debian 13 bevat verscheidene browsermechanismen die te maken hebben met een gestage stroom van veiligheidsproblemen. De hoge frequentie van kwetsbaarheden en het gedeeltelijk ontbreken van bovenstroomse ondersteuning in de vorm van LTS-versies maken het erg moeilijk de betreffende browsers en hun mechanismen te ondersteunen met beveiligingsoplossingen die aan nieuwere versies ontleend moeten worden. Onderlinge afhankelijkheden van bibliotheken maken het bovendien extreem moeilijk om naar nieuwere bovenstroomse versies op te waarderen. toepassingen die gebruik maken van het broncodepakket webkit2gtk (bijv. epiphany) worden gedekt door de beveiligingsondersteuning, maar toepassingen die gebruik maken van qtwebkit (broncodepakket qtwebkit-opensource-src) worden niet gedekt.

Als algemene webbrowser raden we Firefox of Chromium aan. Zij zullen actueel gehouden worden door de huidige ESR-uitgaven ervan opnieuw te compileren voor de stabiele distributie. Dezelfde werkwijze zal gebruikt worden voor Thunderbird.

Zodra een release oldstable wordt, is het mogelijk dat officieel ondersteunde browsers gedurende de standaard dekkingsperiode geen updates meer ontvangen. Chromium krijgt bijvoorbeeld slechts 6 maanden beveiligingsondersteuning in oldstable in plaats van de gebruikelijke 12 maanden.

5.2.3.2. Op Go en Rust gebaseerde pakketten

De infrastructuur van Debian heeft momenteel problemen met het opnieuw opbouwen van pakketten die systematisch gebruik maken van statische koppelingen. Met de groei van de Go- en Rust-ecosystemen betekent dit dat deze pakketten een beperkte beveiligingsondersteuning zullen krijgen, totdat de infrastructuur verbeterd is om ze te kunnen behandelen op een wijze die te onderhouden valt.

Als updates voor ontwikkelingsbibliotheken voor Go of Rust gerechtvaardigd zijn, zullen deze in de meeste gevallen enkel via reguliere tussenreleases gebeuren.

5.2.4. Problemen met virtuele machines op 64-bits little-endian PowerPC (ppc64el)

Momenteel probeert QEMU altijd PowerPC-virtuele machines te configureren met ondersteuning voor 64 kiB geheugenpagina’s. Dit werkt niet voor virtuele machines die KVM-versnelling gebruiken als het standaard kernelpakket gebruikt wordt.

  • Als het gastbesturingssysteem een paginagrootte van 4 kiB kan gebruiken, moet u de machine-eigenschap cap-hpt-max-page-size=4096 instellen. Bijvoorbeeld:

    $ kvm -machine pseries,cap-hpt-max-page-size=4096 -m 4G -hda guest.img
    
  • Als het gastbesturingssysteem een paginagrootte van 64 kiB vereist, moet u het pakket linux-image-powerpc64le-64k installeren; zie 64-bits little-endian PowerPC (ppc64el) paginagrootte.

5.3. Verouderde en achterhaalde zaken

5.3.1. Vermeldenswaardige uitgefaseerde pakketten

Hierna volgt een lijst van bekende vermeldenswaardige uitgefaseerde pakketten (zie Verouderde pakketten voor een beschrijving).

Tot de uitgefaseerde pakketten behoren:

  • Het pakket libnss-gw-name werd verwijderd uit trixie. De bovenstroomse ontwikkelaar stelt voor om in plaats daarvan libnss-myhostname te gebruiken.

  • Het pakket pcregrep is verwijderd uit trixie. Het kan worden vervangen door grep -P (--perl-regexp) of pcre2grep (uit pcre2-utils).

  • Het pakket request-tracker4 is verwijderd uit trixie. De vervanger is request-tracker5, met instructies voor het migreren van uw gegevens. U kunt het inmiddels verouderde pakket request-tracker4 van bookworm geïnstalleerd houden tijdens de migratie.

  • De pakketten git-daemon-run en git-daemon-sysvinit zijn uit trixie verwijderd vanwege beveiligingsredenen.

  • De pakketten nvidia-graphics-drivers-tesla-470 worden bovenstrooms niet langer ondersteund en zijn verwijderd uit trixie.

  • Het pakket deborphan is verwijderd uit trixie. Om onnodige pakketten te verwijderen, moet apt autoremove worden gebruikt, na apt-mark minimize-manual. debfoster kan ook een handig hulpmiddel zijn.

  • Het pakket tldr is verwijderd uit Trixie. Het kan vervangen worden door het pakket tealdeer of door tldr-py.

  • Het pakket tpp (Text Presentation Program) is verwijderd uit trixie. Het kan worden vervangen door het pakket lookatme of door patat.

5.3.2. Verouderde componenten van trixie

Met de volgende uitgave van Debian 14 (codenaam forky) zal sommige functionaliteit verouderd zijn. Gebruikers zullen moeten overschakelen op alternatieven om problemen te voorkomen bij de opwaardering naar Debian 14.

Daaronder valt de volgende functionaliteit:

  • Het pakket sudo-ldap zal worden verwijderd uit forky. Het Debian sudo-team heeft besloten het niet meer te ondersteunen vanwege onderhoudsproblemen en beperkt gebruik. Nieuwe en bestaande systemen zouden in plaats daarvan libsss-sudo moeten gebruiken.

    Als u Debian trixie naar forky opwaardeert zonder deze migratie te voltooien, kan dit leiden tot het verlies van de beoogde rechtenuitbreiding.

    Voor meer informatie, zie bug 1033728 en het bestand NEWS uit het pakket sudo.

  • De functie sudo_logsrvd, gebruikt voor sudo-invoer-/uitvoerregistratie, kan uit Debian forky worden verwijderd, tenzij er zich een beheerder manifesteert. Deze component is binnen de Debian-context van beperkt nut en het onderhouden ervan voegt onnodige complexiteit toe aan het basispakket sudo.

    Zie voor de aan gang zijnde discussie bug 1101451 en het bestand NEWS in het pakket sudo.

  • Het pakket libnss-docker wordt bovenstrooms niet langer ontwikkeld en vereist versie 1.21 van de Docker API. Deze verouderde API-versie wordt nog steeds ondersteund door Docker Engine v26 (geleverd door Debian trixie), maar zal worden verwijderd uit Docker Engine v27+ (geleverd door Debian forky). Tenzij de bovenstroomse ontwikkeling wordt hervat, zal het pakket worden verwijderd uit Debian forky.

  • De pakketten openssh-client en openssh-server ondersteunen momenteel authenticatie en sleuteluitwisseling via GSS-API. Dit wordt normaal gesproken gebruikt voor authenticatie bij Kerberos-diensten. Dit heeft tot problemen geleid, met name aan de serverkant, waar het een nieuw aanvalsoppervlak toevoegt voorafgaand aan de authenticatie. De belangrijkste OpenSSH-pakketten van Debian zullen dit daarom niet meer ondersteunen vanaf forky.

    Als u GSS-API-authenticatie of sleuteluitwisseling gebruikt (zoek naar opties die beginnen met GSSAPI in uw OpenSSH-configuratiebestanden), moet u nu het pakket openssh-client-gssapi (op clients) of openssh-server-gssapi (op servers) installeren. In trixie zijn dit lege pakketten, afhankelijk van respectievelijk openssh-client en openssh-server; in forky zullen ze apart worden gebouwd.

  • sbuild-debian-developer-setup is uitgefaseerd ten gunste van sbuild+unshare

    sbuild, de tool om Debian-pakketten in een minimale omgeving te bouwen, heeft een grote upgrade ondergaan en zou nu probleemloos moeten werken. Hierdoor is het pakket sbuild-debian-developer-setup niet langer nodig en is het verouderd. U kunt de nieuwe versie proberen met:

    $ sbuild --chroot-mode=unshare --dist=unstable hello
    
  • De pakketten fcitx zijn uitgefaseerd ten gunste van fcitx5

    Het raamwerk fcitx voor invoermethodes, ook bekend als fcitx4 of fcitx 4.x, wordt bovenstrooms niet langer onderhouden. Als gevolg hiervan zijn alle gerelateerde invoermethodepakketten nu verouderd. Het pakket fcitx en pakketten waarvan de naam begint met fcitx- zullen worden verwijderd uit Debian forky.

    Bestaande fcitx-gebruikers worden aangemoedigd om over te stappen op fcitx5 door de bovenstroomse handleiding voor de fcitx-migratie en de Debian Wiki-pagina te volgen.

  • Het pakket lxd voor het beheer van virtuele machines wordt niet meer bijgewerkt. Gebruikers moeten overstappen op incus.

    Nadat Canonical Ltd. de door LXD gebruikte licentie had gewijzigd en een nieuwe vereiste voor auteursrechtenoverdracht had geïntroduceerd, werd het Incus-project gestart als een door de gemeenschap onderhouden fork (zie bug 1058592). Debian raadt aan om over te stappen van LXD naar Incus. Het pakket incus-extra bevat tools voor het migreren van containers en virtuele machines van LXD.

  • De suite isc-dhcp werd door de bovenstroomse ontwikkelaars uitgefaseerd.

    Als u NetworkManager of systemd-networkd gebruikt, kunt u het pakket isc-dhcp-client veilig verwijderen, aangezien beide een eigen implementatie hebben. Als u het pakket ifupdown gebruikt, biedt dhcpcd-base een vervanging. ISC raadt als een vervanging voor DHCP-servers het pakket Kea aan.

  • De ontwikkeling van KDE Frameworks 5 is gestopt.

    De bovenstgroomse KDE-projecten hebben hun ontwikkelingsinspanningen verlegd naar de op Qt 6 gebaseerde KDE Frameworks 6-bibliotheken, en de op Qt 5 gebaseerde KDE Frameworks 5 worden niet meer onderhouden.

    Het Debian Qt/KDE-team is van plan om KDE Frameworks 5 uit Debian te verwijderen tijdens de ontwikkelingscyclus van forky.

5.4. Bekende ernstige bugs

Hoewel Debian een release uitbrengt wanneer het er klaar voor is, betekent dat helaas niet dat er geen bekende bugs zijn. Als onderdeel van het releaseproces worden alle bugs met een ernstigheidsgraad ernstig of hoger actief gevolgd door het releaseteam en dus kan een overzicht van de bugs die werden gemarkeerd om te worden genegeerd in het laatste deel van het vrijgeven van trixie, gevonden worden in het Debian bugvolgsysteem. De volgende bugs troffen trixie op het moment van vrijgeven en zijn het vermelden waard in dit document:

Bugnummer

Pakket (broncode of binair)

Beschrijving

1032240

akonadi-backend-mysql

akonadi-server niet robuust tegen MySQL-upgrades

1078608

apt

apt update laat oude indexgegevens stilzwijgend achter

1108467

artha

Segmentatiefout

1109499

bacula-director-sqlite3

bacula-common: preinst breekt opzettelijk de onbeheerde upgrade van bacula-director af

1108010

src:e2fsprogs

mc: fout bij het laden van gedeelde bibliotheken: libcom_err.so.2: kan gedeeld objectbestand niet openen

1102690

flash-kernel

Er is nog steeds een hogere versie (…) geïnstalleerd, opnieuw flashen is niet nodig

1109509

gcc-offload-amdgcn

de dist-upgrade van bookworm naar trixie mislukt

1110119

git-merge-changelog

git-merge-changelog verliest of beschadigt ChangeLog-vermeldingen

1036041

src:grub2

upgrade-reports: Dell XPS 9550 start niet op na een upgrade van bullseye naar bookworm - grub/bios-interactiebug?

1102160

grub-efi-amd64

upgrade-reports: Bookworm naar Trixie [amd64][EFI] initramfs uitpakken mislukt ongeldige magic aanhetg begin van gecomprimeerd archief

913916

grub-efi-amd64

UEFI-opstartoptie verwijderd na update naar grub2 2.02~beta3-5+deb9u1

984760

grub-efi-amd64

upgrade werkt, opstarten mislukt (fout: symbool grub_is_lockdown niet gevonden)

1099655

kmod

initramfs-tools 146 genereert onjuiste initramfs: start niet op, vindt root-bestandssysteem niet

935182

libreoffice-core

Gelijktijdig openen van een bestand op dezelfde host resulteert in het verwijderen van het bestand

1017906

src:librsvg

Bevat gegenereerde bestanden waarvan de bron niet noodzakelijkerwijs dezelfde versie is als die in main

1109203

src:linux

linux-image-6.12.35+deb13-amd64: loopt vast tijdens het opstarten, vóór de dmcrypt-wachtwoordprompt

1109676

src:linux

Breaks PCI (vfio) passthrough for VM guests

1109512

liblldb-dev

de dist-upgrade van bookworm naar trixie mislukt

1104231

libmlir-17t64

libmlir-17t64 is niet samen installeerbaar

1084955

src:llvm-toolchain-18

llvm-toolchain-*: assemblycode lijkt afhankelijk te zijn van de mogelijkheden van de build-CPU

1104177

libc++-18-dev,libunwind-18-dev,libc++abi1-18,libc++abi-18-dev,libunwind-18

libc++-18-dev kan niet samen worden geïnstalleerd

1104336

libmlir-18

libmlir-18 is Multi-Arch: hetzelfde, maar kan niet samen worden geïnstalleerd

1084954

src:llvm-toolchain-19

llvm-toolchain-*: assemblycode lijkt afhankelijk te zijn van de mogelijkheden van de build-CPU

1095866

llvm-19

llvm-toolchain-19: onjuistheden/fouten in de compilatie op i386

1100981

libmlir-19

libmlir-19 kan niet samen worden geïnstalleerd

1109519

mbox-importer

dist-upgrade van bookworm naar trixie mislukt (wordt verwijderd tijdens dist-upgrade)

1110263

openshot-qt

start helemaal niet – AttributeError: het typeobject ‘GreenSocket’ heeft geen attribuut ‘sendmsg’

1108039

python3.13

Een object waarnaar alleen via zijn eigen __dict__ wordt verwezen, kan te vroeg worden verzameld

1089432

src:shim

Standaard ondersteuning voor rootless builds

1101956

snapd

snap-apps op basis van core18 werken niet met fonts-cantarell dt een variabel lettertype bevat

1101839

python3-tqdm

segmentatiefout in de destructormethode

1017891

src:vala

Bevat automatisch gegenereerde bestanden die niet opnieuw kunnen worden gegenereerd met de code in Debian main

1109833

voctomix-gui

kan SafeConfigParser niet importeren

988477

src:xen

xen-hypervisor-4.14-amd64: xen dmesg toont (XEN) AMD-Vi: IO_PAGE_FAULT op sata pci-apparaat