Debian 7.0 Wheezy vylepšuje bezpečnost a nasazuje multiarch

7. 5. 2013
Doba čtení: 6 minut

Sdílet

Po dvou letech je tu další vydání linuxové distribuce Debian. Ta je oblíbená jak u koncových uživatelů či správců serverů, tak i u tvůrců dalších distribucí. Jde spíše o evoluční vydání, i tak je v něm ale poměrně hodně novinek týkajících se software, ale i distribuce samotné. Co je tedy nového?

Předchozí dvě vydání Debianu se podařilo vydat v únoru, prakticky přesně dva roky po sobě. Wheezy se mírně zdržel a vyšel až 5. května, ale v případě Debianu to nikomu nevadí. Podle hesla „Debian vychází, když nastane správný čas“ je lepší si počkat na dobré vydání než zbytečně tlačit na pilu kvůli termínům.

Čtěte recenze starších vydání Debianu:

Wheezy je konečně tady a může dojít k odmražení testingu, které trvá od června loňského roku. Začne příprava nové verze, jejíž kódové jméno je Jessie. Vyjít by měla někdy na jaře roku 2015.

Jak to stáhnout?

Wheezy vychází jako obvykle na různých médiích. Podle architektury si tak můžete stáhnout 9 až 10 DVD nebo 61 až 69 CD. To je samozřejmě maximální počet, v praxi si vystačíte s prvním médiem a připojením k internetu. Všechny ostatní balíčky pak budete instalovat online.

Existuje také šikovné multiarch DVD, na kterém naleznete 32– i 64bitové balíčky. Pro běžného desktopového uživatele je to ideální volba. Dále pak existuje Blu-ray varianta, kterou ale stáhnete jen pomocí stahovacího nástroje Jigdo.

Bohužel byla ukončena moje oblíbená Businesscard instalace, která měla pouhých 40 MB. Vše ostatní se stahovalo zcela čerstvé z internetu. Nyní je podporována už jen netinst varianta, jejíž obraz má mezi 135 a 175 MB. Kromě samotného instalátoru však obsahuje i malou sadu základních balíčků.

Toto vše stahujte ze zrcadel Debianu.

Prohlédněte si galerie: grafická instalace Debianu a textová instalace Debianu Wheezy.

Multiarch zjednoduší správu systému

Debian Wheezy přináší podporu dvou nových architektur: 64bitový port s390×, který by měl nahradit starší s390 a armhf, alternativa k portu armel, která využívá hard-float v moderních zařízeních. Celkem tedy Debian podporuje následující architektury:

Architektura Označení v Debianu
32bitový Intel i386
64bitový Intel amd64
SPARC sparc
PowerPC powerpc
MIPS mips/mipsel
Intel Itanium ia64
S/390 s390
IBM System z s390×
ARM EABI armel
ARMv7 armhf

Kromě toho jsou k dispozici ještě porty GNU/kFreeBSD označené jako kfreebsd-amd64 a kfreebsd-i386. Ty ale nejsou zatím ve stavu, kdy by mohly být zařazeny do oficiálního vydání. Vývojáři varují, že jejich kvalita není stoprocentní, proto by měly být používány s opatrností. Pokud ale chcete vyzkoušet Debian s jádrem FreeBSD, máte možnost.

Poměrně významnou novinkou v Debianu Wheezy je podpora multiarch, tedy možnost pohodlně nainstalovat balíčky určené pro různé architektury. Využití je celá řada (třeba pro vývojáře), ale běžný uživatel se s multiarch setká v případě kombinace 64– a 32bitových balíčků.

Dříve kvůli tomu bylo třeba používat balíček ia32-libs, který obsahoval 32bitové knihovny kompilované pro 64bitový systém. Tento hack byl ve Wheezy zrušen, protože už není potřeba. Balíček ovšem stále existuje kvůli aktualizaci ze Squeeze, ale už jen zapne multiarch.

Použití je poměrně snadné, stačí třeba v 64bitovém systému přidat 32bitovou architekturu:

# dpkg --add-architecture i386

Poté musíte aktualizovat zdroje:

# aptitude update

Teď už budete mít k dispozici balíčky z obou architektur. Tím se vám v praxi zdvojnásobí počet dostupných balíčků. Podívejte se na následující příklad:

# aptitude search galculator
i   galculator                      - Kalkulátor používající GTK+ 2.0
p   galculator:i386                 - Kalkulátor používající GTK+ 2.0

Vidíte, že balíček je vidět dvakrát, jednou ve výchozí architektuře a jednou v i386. První variantu nainstalujete standardním způsobem, pokud budete chtít doinstalovat 32bitovou verzi, stačí zadat:

# aptitude install galculator:i386

Systém sám vyřeší závislosti a nainstaluje všechny 32bitové knihovny, jako například libcairo2:i386 a další.

Doporučuji si rozhodně přečíst rozsáhlý manuál k multiarch a v případě aktualizace ze Squeeze také aktualizační postup pro přechod na multiarch.

Software pěkně zabalený

Velmi zajímavé jsou statistiky týkající se balíčků: Wheezy obsahuje proti Squeeze 12 800 nových balíčků a celkem jejich nyní k dispozici 37 493. Většina z balíčků (70 %) přecházejících ze Squeeze byla také aktualizována. Část balíčků byla samozřejmě naopak odstraněna, jedná se asi o 14 % balíčků, v absolutních číslech 4125. Zejména jde o různé již nepoužívané knihovny, vyřazeno bylo například Qt 3.

Nebudeme tu vyjmenovávat desítky verzí různých balíčků, většinou jde jen o desetinkové minoritní aktualizace. Vybereme jen to nejdůležitější: linuxové jádro povýšilo na verzi 3.2, X.Org byl aktualizován na verzi 7.7, desktopová prostředí jsou k dispozici ve verzích: GNOME 3.4, KDE 4.8.4 a Xfce 4.8.

Balík OpenOffice.org byl nahrazen LibreOffice 3.5, Firefox (iceweasel) a Thunderbird (icedove) se zastavily na verzích 10 ESR, tedy verzích s dlouhou podporou.

Balíček ffmpeg byl nahrazen klonem libav nazvaným libav-tools. Ten má podle vývojářů mnohem předvídatelnější a konzervativnější vývojový model. Využívají jej všechny multimediální aplikace jako mplayer, mencoder, vlc a transcode.

Ze serverových balíčků vás čeká PHP 5.4, MySQL 5.5, PostgreSQL 9.1, OpenSSH 6.0p1 a Python 2.7 či 3.2.

Příprava na Systemd

Systemd hýbe linuxovým světem a ani Debian nezůstává úplně pozadu. Přesto Wheezy stále ještě používá SysV init skripty. Od minulé verze je ale umí spouštět paralelně a nyní je tato varianta ve výchozím stavu zapnutá.

Pokud si ale chcete vyzkoušet základní podporu Systemd, můžete si nainstalovat balíček systemd, který bude bezpečně fungovat vedle balíčku sysvinit. Pro přepnutí stačí změnit parametr jádra na  init=/bin/systemd.

Podle vývojářů jde zatím o „technology preview“ a podpora Systemd je součástí jen asi padesátky balíčků. Ty nejdůležitější ji ale obsahují. Například: udev, dbus a rsyslog. Další podrobnosti naleznete na Debian wiki.

Balíčky nové a novější

Pokud máte zájem občas sáhnout po novějších balíčcích, Wheezy vám vyjde vstříc. Existují nové větve stable-backports a stable-updates. První z nich přebírá funkci projektu backports.debian.org a obsahuje nové verze balíčků kompilovaných proti Wheezy. Tady budete nacházet nové aplikace a knihovny.

Druhá jmenovaná větev bude obsahovat takové balíčky, které jsou nutné pro běh některých služeb. Například jde o aktualizaci virových databází či o aktualizaci časových zón. Takové balíčky je potřeba měnit po celou dobu životnosti konkrétního vydání (minimálně tři roky).

Pro přidání těchto větví si do zdrojů přidejte některý (nebo oba) z následujících řádků:

deb     http://mirrors.kernel.org/debian wheezy-backports main contrib
deb     http://mirrors.kernel.org/debian wheezy-updates main contrib

Tvrzená bezpečnost

Wheezy přichází také s novinkami, které se týkají bezpečnosti. Balíčky jsou nově kompilovány s parametry gcc, které zvyšují bezpečnost aplikací. Pro útočníka se komplikuje přepisování zásobníku, není možné předvídat umístění hodnot proměnných v paměti a podobně.

Tyto úpravy se netýkají všech balíčků, ale jen těch ze základního systému (base) a také různých serverů přístupných z internetu. Pozor také na to, že pokud si budete kompilovat balíčky sami, bezpečnostní parametry jsou ve výchozím stavu vypnuté. Pro aktivaci si nainstalujte balíček  hardening-wrapper.

Další příjemnou novinkou je plná podpora technologie AppArmor. Ta dovoluje nastavovat velmi podrobná práva pro jednotlivé aplikace. Pomocí profilů můžete nastavit, ke kterým souborům může aplikace přistupovat, jak může zacházet ze sítí a podobně. Aplikace je tak uzavřená v těsných mantinelech a v případě napadení z nich nemůže uniknout a provádět v systému neplechu.

AppArmor je perfektně podporován například v Ubuntu. V Debianu byla podpora dlouho problematická či úplně rozbitá. Wheezy konečně přichází s plnou podporou jak v jádře, tak i v obslužných utilitách. Pro podrobnosti opět konzultujte wiki Debianu.

ict ve školství 24

Další dva roky s Debianem

Nejde o nijak revoluční změny, ale o užitečná vylepšení usnadňující život. Osobně mě nejvíce potěšila podpora AppArmor, jednoduše řešený multiarch a jsem zvědav na rozšiřující se podporu Systemd.

Následující dva roky teď budeme žít se smutným tučňákem jménem Wheezy. Postupně se ale promění ve veselou krasavici Jessie.

Autor článku

Petr Krčmář pracuje jako šéfredaktor serveru Root.cz. Studoval počítače a média, takže je rozpolcen mezi dva obory. Snaží se dělat obojí, jak nejlépe umí.