Was ist neu in Debian 9 Stretch? ================================ :author: Axel Beckert :backend: slidy :data-uri: https://noone.org/talks/whats-new-in-debian/ :max-width: 94% :icons: :copyright: Axel Beckert, licensed under CC-SA-3.0-DE Versionen wichtiger Pakete -------------------------- [cols="a,a,a,a"] |=== | * Kernel 4.9 * Xen 4.8 * glibc 2.24 * X.org 7.7 [small]#(unverändert)# | * GNOME 3.22 * KDE Plasma 5.8 * XFCE 4.12 | * APT 1.4 * dpkg 1.18 * Git 2.11 * Aptitude 0.8.7 | * Apache 2.4.25 * Nginx 1.10 * PHP 7.0 [small]#(Kein PHP5!)# * OpenJDK 8 | * GCC 6.3 * Clang/LLVM 3.8 | * GNU Bash 4.4 * Zsh 5.3.1 | * GNU Emacs 24.5 + 25.1 * Vim 8.0 | * GNU Screen 4.5.0 [small]#(+ Cherry-Picks)# * Tmux 2.3 | * OpenSSH 7.4p1 * OpenVPN 2.4 * OpenSSL 1.1 und 1.0.2 | * PostgreSQL 9.6 * MariaDB 10.1 [small]#(Kein MySQL mehr!)# * Berkeley-DB 5.3 | * Postfix 3.1 * Exim 4.89 * Dovecot 2.2.27 * Mutt 1.7 [small]#+ NeoMutt# | * Perl 5.24 * Python 2.7.13 und 3.5.3 * Ruby 2.3.3 * Tcl/Tk 8.5 + 8.6 [small]#(unverändert)# | * LibreOffice 5.2 | * Samba 4.5 | * CUPS 2.2 | * BIND 9.10 // * Battle for Wesnoth 1.10 (und 1.12 bereits in den Backports) |=== Neues ausserhalb von Paketen ---------------------------- * Das Einbinden von `/usr` mit Werkzeugen, die nur in `/` existieren, wird explizit und offiziell nicht mehr unterstützt. Danke, systemd! :-( * Von Debian betriebene Mirrors (ftp.debian.org, deb.debian.org) unterstützen kein FTP mehr. ** Viele der sonstigen Mirrors (inkl. ftp.ch.debian.org) bieten FTP aber weiterhin an. * Es gibt jetzt auch offizielle Mirrors mit `.onion`-Adressen (braucht apt-transport-tor) deb tor+http://vwakviie2ienjx6t.onion/debian stretch main deb tor+http://sgvtcaew4bxjd7ln.onion/debian-security stretch/updates main * Neue Paket-Sektionen `javascript` und `rust`. Architekturen ------------- Änderungen beim Hardware-Support ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Die Debian-Architektur `i386` unterstützt weniger CPUs als bisher: * Neu sind nur noch i686 (Pentium II) und aufwärts unterstützt. * Pentium 1 (i586) und Pentium MMX werden leider nicht mehr unterstützt. Beispiele: Thinkpad 760er Serie (1996/1997) und MicroClient Jr. (2007) Nicht betroffen: PC-Engines ALIX-Boards Nicht mehr dabei ~~~~~~~~~~~~~~~~ * `powerpc` (vor allem alte Macs) (Es gibt aber weiterhin die mit Jessie eingeführte Little-Endian-64-Bit-PowerPC-Architektur `ppc64el`.) Neu ~~~ * `mips64el`: Little Endian 64-Bit MIPS Änderungen bei den Compiler-Einstellungen ----------------------------------------- * Kompilieren mit PIE (Position Independent Executables) jetzt Default * Erstellung automatischer Debug-Symbole ** Ein Grossteil der kompilierten Debian-Paket hat jetzt Debug-Symbole. ** Debug-Symbole sind neu im Extra-Repo http://debug.mirrors.debian.org/debian-debug/, nicht auf den normalen Mirrors. ** Details unter https://wiki.debian.org/AutomaticDebugPackages Neues beim Debian Installer --------------------------- * Grafischer Installer jetzt Default, wo möglich * Debian-Installer jetzt mit GNU Screen ** Default bei Installation über serielle Konsole und über SSH ** Sonst optional verfügbar im Textmodus * SD-Karten-Images für diverse ARM-Boards (z.B. Cubietruck und andere sunxi-/Allwinner-basierte Boards) unterstützen neu auch HDMI statt bisher nur serieller Konsole. Neue Desktop-Oberflächen ------------------------ * LXQt 0.5.2 ** schlank ** Qt-basiert ** http://lxqt.org/ ** Merger von LXDE (noch dabei) und RazorQt (rausgeflogen) Neue Metapakete --------------- * `perl6`: Rakudo war vorher schon in Debian, aber jetzt gibt's ein Metapaket, das die jeweile Default-Implementation für Perl 6 (momentan Rakudo) mit sich zieht. * `forensics-*`: Programme zur digitalen Forensik * `astro-*`: Programme für Astronomen (nicht Astrologen :-) * `debichem-*`: Programme für Chemiker APT --- * Downloads als unprivilegierter User `_apt` * Pinning entspricht mehr dem was dokumentiert ist. * 3rd-Party Repos müssen InRelease-Dateien unterstützen * Minimum SHA256-Prüfsummen * Minimum 2048-Bit-RSA-Key-Grösse für Signaturen Neue Pakete (1/10) ------------------ Paketmanagement ~~~~~~~~~~~~~~~ * `needrestart-session`: Zusatz zu `needrestart` um nach Paket-Aktualisierungen User in ihrer Desktop-Session über neuzustartende Programme zu informieren. * `debian-paketmanagement-buch` (Schleichwerbung ;-): Frank und mein Buch (Beta-Version) Konfigurationsmanagement ~~~~~~~~~~~~~~~~~~~~~~~~ * `cdist` (Python/POSIX-Shell) * `rex` (Perl) Neue Pakete (2/10) ------------------ Init-Systeme ~~~~~~~~~~~~ * `runit-sysv`: Runit ist schon lange in Debian, aber es als Init-System fürs System zu verwenden, war bisher immer übles Gebastel. Dateisysteme ~~~~~~~~~~~~ * `yubikey-luks`: Yubikey als zweiten Faktor zum Entschlüsseln von LUKS-Partitionen. Neue Pakete (3/10) ------------------ Editoren ~~~~~~~~ * `neovim`: Vim-Fork, der viele alte Zöpfe abschneidet * `kakoune`: Code-Editor nach Vorbild Vim mit Focus auf Selections Dokumenten-Renderer ~~~~~~~~~~~~~~~~~~~ * `mkdocs`: Baut aus einer Verzeichnisstruktur mit Markdown-Dateien eine einheitliche, untereinander verlinkte Doku. Kann fürs ReadTheDocs verwendet werden. Neue Pakete (4/10) ------------------ VCS-/Git-Hosting ~~~~~~~~~~~~~~~~ * Gitlab (Ruby) * Gitano (Lua) * Klaus (Python) Paketierung ~~~~~~~~~~~ * `dgit`: Das Debian-Archiv als Git-Repository behandeln. * Android-SDK (neu komplett, bisher nur Teile wie adb und fastboot) * Diverse Pakete rund um SUSEs Open Build Service (OBS, Paketnamen `obs-*`) Neue Pakete (5/10) ------------------ Qualitätssicherung für Pakete ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ * `jenkins-debian-glue`: Alles, was notwendig ist, um mit Jenkins aus Paketierungs-Git-Repositories automatisiert bei jedem `git push` ein Paket zu bauen und per APT-Repository zu veröffentlichen. Aus dem Hause Grml. :-) * `reprotest`: Baut zwei Pakete unter dezent unterschiedlichen Bedingungen zum Schauen, ob das Bauen reproduzierbar ist. * `diffoscope`: Vergleicht zwei beliebige Dateien, zeigt die Unterschiede und zeigt auch die Gründe für die Unterschied (versteht sehr viele Dateiformat, entpackt, entkomprimiert und zeigt die Unterschiede danach.) * `cpants-lint`: Qualitätssicherung für CPAN-Distributionen ("Perl-Pakete"). Neue Pakete (6/10) ------------------ Chat/IM/Microblogging ~~~~~~~~~~~~~~~~~~~~~ * Ring: Desktop-Client für eine sichere und verteilte Telefon-, Video- und Chat-Platform. * Ricochet (Paket `ricochet-im`): Instant-Messaging über Tor. * `torchat`: Instant-Messaging über Tor. Wissenschaftliche Anwendungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ * Sagemath: Seine Mission ist eine freie und brauchbare Alternative zu Magma, Maple, Mathematica und Matlab zu bieten. Webbrowser ~~~~~~~~~~ * `phantomjs`: Headless Browser zum Testen von Webseiten oder Screenshots machen. Neue Pakete (7/10) ------------------ Emulatoren von Spielekonsolen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ * RetroArch / LibRetro: Modulares Multi-Emulator-System Spielzeug ~~~~~~~~~ * `bucklespring`: Nerv Deine Bürokollegen mit den Tipp-Geräuschen einer IBM Model-M-Tastatur (ohne eine zu benutzen). Neue Pakete (8/10) ------------------ Netzwerk-Infrastruktur ~~~~~~~~~~~~~~~~~~~~~~ * KEA (die DHCP-Komponente aus BIND 10) * OsmoBTS: GSM Base Station Let's Encrypt / ACME Clients ~~~~~~~~~~~~~~~~~~~~~~~~~~~~ (Viele kennt man schon aus Jessie-Backports.) * acme-tiny (Python + OpenSSL, minimal) * acmetool (Go, funktioniert wie `make`) * dehydrated (Shell + OpenSSL, ehemals letsencrypt.sh) * certbot (Python + Bloat, ehemals offizieller Client `letsencrypt`) * lacme (Perl, Fokus auf Prozess-Isolierung) * lecm (Python + YAML, "Let's Encrypt Certificates Manager", nicht-interaktiv) * lego (Go) Neue Pakete (9/10) ------------------ Netzwerk-Analyse / Forensik / Pen-Testing ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ * Bro (`bro`, `bro-aux`, `broctl`): Passive Netzwerkverkehr-Analyse, ähnlich Snort * `hashcat`: Angeblich schnellstes Passwort "Recovery" Tool * `ripe-atlas-tools`: Kommandozeilen-Tools fürs RIPE-Atlas-Projekt * `ooniprobe` (`contrib`): Tor-nutzender Daemon als Looking-Glass zum Aufspüren von Netzwerkzensur. * `testssl.sh`: Testen von Servern auf deren SSL-Konfiguration Neue Pakete (10/10) ------------------- Sonstiges ~~~~~~~~~ * `caffeine`: Sorgt dafür, dass der Screensaver nicht denkt, Du wärst idle. Funktioniert aber anscheinend nicht mit allen Screensavern. * `zsh-syntax-highlighting`: Syntaxhighlighting auf der zsh-Kommandozeile ähnlich wie bei der Shell `fish`. * `icdiff`: Terminal-basiertes, farbiges Seite-bei-Seite-Diff * `ansiweather`: Wettervorhersage als farbige Text-Grafiken auf der Kommandozeile. * USB Guard (Pakete `usbguard` und `usbguard-applet-qt`): Einbindung unbekannter USB-Geräte verhindern. Hilft aber leider nicht gegen moderne USB-Keylogger, da die keine eigene USB-ID mitsenden sondern die der (bereits bekannten) USB-Tastatur kopieren bzw. durchreichen. Bekannte Pakete neu ------------------- Wieder drin ~~~~~~~~~~~ * `gnome-mousetrap`: Maus mit Kopfbewegungen steuern * `fex`: File Exchange, ein Upload-Server zum "Versenden" von Dateien. * `ytalk`: Multiuser-Talk-Programm * `tardy`: Tar-Stream-Filter * `wyrd`: Text-basiertes Kalenderprogramm. Bäumchen wechsel Dich ~~~~~~~~~~~~~~~~~~~~~ * Jetzt wieder `ffmpeg` statt `libav`. * `mplayer` (1) statt `mplayer2` (`mplayer2` zieht stattdessen allerdings `mpv` nach) Potentielle Stolperfallen wenn man Jessie gewöhnt ist ----------------------------------------------------- SSH ~~~ * Einloggen per SSH mit SSH1-Protokoll ist nicht mehr möglich. * Der OpenSSH-Client ("ssh") kann kein SSH1-Protokoll mehr, dazu braucht's das Extra-Paket `openssh-client-ssh1`. * Auch mit manchen alten SSH-Servern (Sun-Firmware z.B.) findet der aktuelle OpenSSH-Client keine gemeinsamen Algorithmen mehr. Ausweichmöglichkeit: Putty (ja, Putty gibt's auch unter Linux und ist für Debian paketiert) Aptitude ~~~~~~~~ * "Forget New Packages" erlaubt jetzt einen Filter: Will man wie bisher alle neuen Pakete "vergessen", muss man bei der Abfrage des Filters einfach Enter drücken. * "Cancel pending actions" im TUI-Menü macht nur in der aktuellen Session gemacht Änderungen rückgängig. Will man wirklich alle Änderungen rückgängig machen, so muss man auf der Kommandozeile `aptitude keep-all` aufrufen. Keine Sicherheitsupdates ------------------------ * Node.js und `libv8` * Browser-Engines `webkit`, `qtwebkit` und `khtml` Nicht in Stretch / Freiwillig zurückgezogen ------------------------------------------- * `docker.io`: Hat's wieder nicht nach Stable geschafft) * `rkt` ("Rocket") * `aiccu`: Dank Dichtmachen von SixXS und keinem freien AYIYA-Server. * Passwort-Manager `fpm2` und `kedpm`. * Nagios3: Will man sowieso nicht mehr und es gibt ja Icinga. * `openss{h,l}-blacklist*` * `torbrowser-launcher` * `upstart` (komplett aus Debian geflogen) Nicht mehr nach Stretch geschafft --------------------------------- … aber bereits in Unstable oder Experimental. * Debian Policy 4.0.0.0 * Python 3.6 * Perl 5.26 * GCC 7 * Tilix (ehemals Terminix) * Telegram-Desktop (hiervon erwarte ich Backports) Derivate mit Releases in den letzten paar Wochen ------------------------------------------------ Auf Debian 9 Stretch basierend ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ * Grml 2017.05 "Freedatensuppe" * Tanglu 4 "Dasyatis kuhlii" * Tails 3.0 (nur noch für amd64) Auf Debian 8 Jessie basierend ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ * Devuan 1.0 "Jessie" (Namensschema: Kleinplaneten) Links ----- Folien ~~~~~~ - https://noone.org/talks/whats-new-in-debian/ - Lizenz: link:https://creativecommons.org/licenses/by-sa/3.0/de/[CC-SA-3.0-DE] - Kontakt: Axel Beckert Hilfreiches ~~~~~~~~~~~ - Offizieller "Was ist neu in Debian 9?"-Eintrag in den Veröffentlichungshinweisen: https://www.debian.org/releases/stretch/amd64/release-notes/ch-whats-new.de.html - Installer-Images mit Firmware: http://cdimage.debian.org/cdimage/unofficial/non-free/cd-including-firmware/