Debian 11: Update vor allem für Server

Das stabile Debian-Release stellt nie Rekorde auf, was die Aktualität der enthaltenen Software angeht, sondern liefert solide Grundlagen für den sorglosen Betrieb der enthaltenen Software. Wer stets auf das Neueste erpicht ist, muss sich mit dem Testing- oder Unstable-Zweig der Distribution anfreunden. Wer mit etwas abgehangenen Versionen klarkommt, erhält dafür im Rahmen der Möglichkeiten [1] Updates für Sicherheitslücken, aber nur ausnahmsweise Funktionsupdates – ein Träumchen für von As-a-service-Versprechen geplagte Windows-10-Nutzer.

Der Installer hat beim Umgang mit proprietärer Firmware dazugelernt. Er fügt jetzt Firmware-Dateien oder -Pakete dem Zielsystem hinzu, wenn er die während des Einrichtens geladen hat. Das klappt aber nicht mit den regulären Installationsimages, sondern nur mit solchen, die um die Firmwaredateien aufgebrezelt worden sind, die nicht mit der Lizenz von Debian verträglich sind (non-free); alternativ kann man die Firmware per Datenträger zufüttern, etwa einem USB-Stick.

Bullseye verwendet zum Schutz von Passwörtern in der Datei /etc/shadow als Hash-Verfahren jetzt yescrypt statt SHA-512. Es kann vorhandene Hashes bei einem Update nicht umschreiben. Das heißt, die Härtung gegen Wörterbuchattacken wirkt erst, wenn jeder Nutzer sein Passwort geändert hat. Nur neu angelegte Konten profitieren direkt. Die Release-Notes warnen davor, dass yescrypt-verschlüsselte Kennwörter in alten Debian-Versionen nicht funktionieren werden.

Wichtig bei Upgrades, weil es beim Umstellen durchrutschen kann: Der Pfad für Sicherheitsupdates hat sich geändert (bullseye-security statt buster/updates). Mit dem LTS-Kernel 5.10 zieht eine Änderung ein, die es nicht nur Root, sondern auch regulären Nutzern erlaubt, User Namespaces anzulegen; Webbrowser oder Container-Umgebungen können damit Sandboxen einrichten, um wenig vertrauenswürdigen Code auszuführen.

Bullseye kann jetzt mit Druckern zusammenarbeiten, die ohne modellspezifische Treiber über USB direkt mit dem Internet Printing Protocol (IPP) ansprechbar sind. Das sollte für Geräte gelten, die ab 2014 auf den Markt kamen und die sich mit AirPrint-Funktionalität schmücken.

Das Systemd-Journal konfiguriert Bullseye so, dass es dauerhaft in /var/log/journal gespeichert wird. Der Kernel bringt nunmehr einen exFAT-Treiber mit, sodass man für das Lesen dieses Dateisystems nicht mehr auf eine User-Space-Implementierung angewiesen ist. Dazu liefert Bullseye das neue Hilfsprogrammpaket „exfatprogs“ mit, das nicht kompatibel zu den bisherigen „exfat-utils“ ist.

Upgrades

Die Entwickler haben beim Upgrade allerhand Nickeligkeiten entdeckt und bieten Abhilfen an: So versäumen Upgrades per apt dist-upgrade das Umstellen von fuse auf fuse3, was sich durch erneuten Aufruf von apt dist-upgrade mit der APT-Version aus Bullseye nachholen lassen soll. Exim-Nutzer müssen mit Konfigurationsänderungen rechnen. Wer rdiff-Backups zwischen Debian-Systemen nutzt, darf Buster und Bullseye nicht mischen – die Netzwerkprotokolle von rdiff 1 und 2 vertragen sich nicht miteinander. Das Zeitfenster, in dem während des Upgrades über eine SSH-Sitzung keine neuen Verbindungen gelingen, ist größer.

Software, die auf Python 2 angewiesen ist, dürfte unter Bullseye nicht mehr laufen. Es finden sich zwar noch ein paar Kleinigkeiten zu Python 2.7, doch die Masse der Anwendungen ist auf Python 3 umgestellt oder entfernt worden. Wer Konfigurationen mit dem Automationstool Chef verwaltet, muss sich Pakete bei den Chef-Entwicklern holen. Der klassische Bootloader LILO fehlt in Bullseye.

Wir haben ein rundes Dutzend produktiv laufender Debian-Buster-Systeme aktualisiert – ohne große Schwierigkeiten. Erfreulich reibungslos gelang sogar das Umstellen von Wireguard-VPN-Servern. Die musste man zuvor mit Paketen aus Unstable oder Buster-Backports ausstatten. Nach Entfernen dieser Quellen und Tilgen von etwaigen Pinning-Einstellungen lief die Aktualisierung reibungslos durch, und die VPN-Dienste waren nach einem Reboot wieder aktiv. Bullseye enthält die für Wireguard notwendigen Kernel-Module und Programme fürs Userland jetzt regulär. (ps@ct.de)

Release-Notes & Download: ct.de/ykpr