Debian 10 (buster) 在 2019-07-06 正式釋出 [1], 睽違兩年的發行跟前一版 Debian 9 – Stretch 有什麼差異呢?

img src: https://itsfoss.com/wp-content/uploads/2019/04/debian-10-buster.jpg

---

支援 CPU 架構 [2]

異動部份

• 無, 和前一版 Debian 9 – Stretch 相同

目前官方支援的架構

• 32-bit PC (i386) and 64-bit PC (amd64)
• 64-bit ARM (arm64)
• ARM EABI (armel)
• ARMv7 (EABI hard-float ABI, armhf)
• MIPS (mips (big-endian) and mipsel (little-endian))
• 64-bit little-endian MIPS (mips64el)
• 64-bit little-endian PowerPC (ppc64el)
• IBM System z (s390x)

---

此次發行版異動 (完整清單可見 release note [3])

套件相關

相較 Debian 9,  Debian 10 新增 13370 個套件, 更新 35532 個套件, 並移除 7278 個套件.

目前內含超過 57703 個套件.

主要套件更新訊息如下:

img src: https://www.debian.org/releases/stable/amd64/release-notes/ch-whats-new.en.html#newdistro

---

除此之外, 桌面套件也都進行升級

• Cinnamon 3.8,
• GNOME 3.30,
• KDE Plasma 5.14,
• LXDE 0.99.2,
• LXQt 0.14,
• MATE 1.20,
• Xfce 4.12.1-3. (注意 Xfce 主要版本並沒有變動, Debian 9使用 4.12.1-2. 兩者中間的異動主要跟 Debian 設定有關, 無關 Xfce 功能 [4])

---

重點功能

支援 UEFI Secure Boot 安全開機

UEFI Secure boot [5] 只允許載入已認可數位簽章啟動程式, 來避免開機程式遭惡意人士篡改. 因此透過 UEFI  Secure Boot可讓啟動過程更安全. Secure boot 可用許多技術來達成, Debian 目前採用 UEFI Secure boot.

Debian 計畫在 amd64, i386, arm64 三個架構下支援 UEFI Secure Boot 功能 [6], 若有資安需求的用戶不妨可以開啟使用. 這邊要特別注意的是, 由於 Grub 使用 GPLv3 授權, 而 GPLv3 內有所謂的可刷機條款 – Tivoization [7]. 所以想使用 Debian Secure Boot 功能進行商品化販售的廠商需參考 MOK [8], 避免產生開源授權法律議題.

預設使用 AppArmor

Linux Security Module (LSM) [9] 是實現 Mandatory Access Control (MAC) [10] 的框架.  MAC 為更嚴謹的作業系統控制方法, 作業系統中的安全策略由安全策略管理員集中控制, 用戶無權修改策略. 關於 LSM 的基本介紹, 網路上可查到許多資料, 這邊就不多贅述.

AppArmor 屬於 LSM 的一種實作方法, Debian 10 預設使用 AppArmor 以增進系統安全性.

• AppArmor
• LoadPin
• SELinux
• Smack
• TOMOYO
• Yama
• SafeSetID

預設啟動 usrmerge

透過 symbolic link, 將 bin, sbin, lib 指向 /usr 底下相對應目錄. 讓整體系統更乾淨, 簡潔並增加與其他 Unix-like 作業系統的兼容性.

• /bin -> /usr/bin
• /sbin -> /usr/sbin
• /lib -> /usr/lib

usrmerge 詳細說明可見這邊

預設使用 nftables 來取代 iptables

iptables 主要功能包含封包過濾, NAT, 以及封包修改. 而 nftables 自 kernel 3.13 引入後, 已逐漸取代 iptables. 除此之外, nftables 的功能可概括原本 iptables, ip6tables, arptables and ebtables. 詳細 nftables 介紹可參考這邊

在 Debian 10 中, 提供 iptables-nft 來進行往前相容, 但建議盡速切換成 nftables [11].

GNOME 默認使用Wayland

Debian 單純跟隨 GNOME 上游, 由 X.org 切換成 Wayland. 詳細內容可見這邊

提供可選之加固 APT

目前 APT 提供的方法 – http 以及 https, 除了cdrom, gpgv 和 rsh 外, 都可以使用 seccomp-BPF 限制允許執行的系統呼叫列表, 所有其他的系統調用會被 SIGSYS 信號捕獲. 此功能預設關閉, 可透過下列方式啟用:

      APT::Sandbox::Seccomp 控制開啟/關閉

這裡有更多說明資訊, 另關於 seccomp 詳細介紹可參考這邊

Unattended-upgrades 提供 stable 版本自動升級機制

過去的 Unattended-upgrades 機制, 可讓機器自動安裝最新的安全更新. 從 Debian 10 開始也能支援自動安裝最新的 Stable 版本更新. Stable 版本更新是安全更新的宇集合.

此功能特別適合無人值守環境的機器.

---

References:

[1] https://wiki.debian.org/DebianBuster

[2] https://lists.debian.org/debian-devel-announce/2019/04/msg00003.html

[3] https://www.debian.org/releases/stable/amd64/release-notes/

[4] https://tracker.debian.org/news/902214/accepted-libxfce4ui-4121-3-source-into-unstable/

[5] https://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#SECURE-BOOT

[6] https://wiki.debian.org/SecureBoot

[7] https://en.wikipedia.org/wiki/Tivoization

[8] https://wiki.debian.org/SecureBoot#MOK_-_Machine_Owner_Key

[9] https://www.kernel.org/doc/html/latest/admin-guide/LSM/index.html

[10] https://en.wikipedia.org/wiki/Mandatory_access_control

[11] https://wiki.debian.org/nftables

[12] https://wiki.debian.org/UnattendedUpgrades