Что нового в Debian 10 «Buster»

Вчера состоялся релиз юбилейной десятой версии операционной системы Debian под кодовым именем «Buster». Разработка десятой версии заняла два года, а её поддержка будет продолжаться пять лет. Система содержит множество нововведений, основные из них мы и обсудим.

В первую очередь следует сказать, что Debian 10 выпускается в виде дистрибутивов для множества архитектур. Это Intel x86 (i386), AMD64/x86-64, EABI ARM (armel), 64-битный ARM (arm64), ARMv7 (armhf), MIPS (mips, mipsel, mips64el), PowerPC 64 (ppc64el) и IBM System z (s390x).

Количество пакетов в системе доросло до 57703, увеличившись примерно на 6000 по сравнению с Debian 9. Добавлено 13370 пакетов, удалено 7278 устаревших или заброшенных пакетов, обновлено 35532 пакетов.

Основные изменения в новой версии:

• Реализована поддержка технологии UEFI Secure Boot, работа которой реализована через загрузчик Shim, заверенный цифровой подписью от компании Microsoft (shim-signed), в сочетании с заверением ядра и загрузчика grub (grub-efi-amd64-signed) собственным сертификатом проекта. Пакеты shim-signed и grub-efi-ARCH-signed включены в число сборочных зависимостей для amd64, i386 и arm64. Загрузчик и grub, заверенные рабочим сертификатом, включены в состав EFI-образов для amd64, i386 и arm64;
• Включена по умолчанию поддержка системы мандатного контроля доступа AppArmor, используемая для контроля полномочий процессов и определения списка файлов с соответствующими правами для каждого приложения. Кроме того, AppArmor позволяет также контролировать доступ к сети и управлять POSIX capabilities;
• На смену iptables, ip6tables, arptables и ebtables пришёл пакетный фильтр nftables. В nftables внедрена унификация интерфейсов фильтрации пакетов для IPv4, IPv6, ARP и сетевых мостов;
• Теперь используется ядро Linux версии 4.19;
• Для APT реализован режим sandbox-изоляции, включаемый через опцию APT::Sandbox::Seccomp и обеспечивающий фильтрацию системных вызовов при помощи seccomp-BPF. Для более тонкой настройки белого и чёрного списков системных вызовов можно использовать списки APT::Sandbox::Seccomp::Trap и APT::Sandbox::Seccomp::Allow;
• Рабочий стол GNOME по умолчанию использует Wayland. Сеанс на базе X-сервера предложен в виде опции. Обновлён графический стек и пользовательские окружения: GNOME 3.30, KDE Plasma 5.14, Cinnamon 3.8, LXDE 0.99.2, LXQt 0.14, MATE 1.20, и Xfce 4.12;
• Офисный пакет LibreOffice обновлён до выпуска 6.1. Также добавлены свежие версии: Calligra 3.1, Evolution 3.30, GIMP 2.10.8, Inkscape 0.92.4, Vim 8.1;
• В состав дистрибутива включён компилятор для языка Rust (Rustc 1.34). Обновлены GCC 8.3, LLVM/Clang 7.0.1, OpenJDK 11, Perl 5.28, PHP 7.3 и Python 3.7.2;
• Новые версии серверных приложений, в том числе Apache httpd 2.4.38, BIND 9.11, Dovecot 2.3.4, Exim 4.92, Postfix 3.3.2, MariaDB 10.3, nginx 1.14, PostgreSQL 11, Samba 4.9;
• Появилась поддержка плат на базе процессоров Allwinner A64, таких как FriendlyARM NanoPi A64, Olimex A64-OLinuXino, TERES-A64, PINE64 PINE A64/A64/A64-LTS, SOPINE, Pinebook, SINOVOIP Banana Pi BPI-M64 и Xunlong Orange Pi Win(Plus);
• Добавлен порт для 64-разрядной архитектуры RISC-V, не вошедший в число официально поддерживаемых в Debian 10. В настоящее время для RISC-V успешно собирается около 90% от общего числа пакетов;
• В инсталлятор внедрена возможность использования одновременно нескольких консолей в процессе установки;
• Удалена поддержка ReiserFS. Для Btrfs добавлена поддержка сжатия ZSTD (libzstd);
• В cryptsetup осуществлён переход на формат шифрования дисков LUKS2 вместо LUKS1. В процессе обновления существующие разделы LUKS1 автоматически будут преобразованы в формат, совместимый с LUKS2, но из-за ограничений размера заголовка не все новые возможности для них будут доступны;
• В OpenSSL отключена поддержка протоколов TLS 1.0 и 1.1, минимальной поддерживаемой версией теперь является TLS 1.2;
• Удалены многие устаревшие и оставшиеся без сопровождения пакеты. Среди них Qt 4, phpmyadmin, ipsec-tools, racoon, libreswan, ssmtp, ecryptfs-utils, mcelog, revelation. Заявлено, что в Debian 11 будет прекращена поддержка Python 2.

Загрузить свежую версию Debian можно здесь.