Debian 10 (buster) 在 2019-07-06 正式釋出 [1], 睽違兩年的發行跟前一版 Debian 9 – Stretch 有什麼差異呢?
img src: https://itsfoss.com/wp-content/uploads/2019/04/debian-10-buster.jpg
支援 CPU 架構 [2]
異動部份
- 無, 和前一版 Debian 9 – Stretch 相同
目前官方支援的架構
- 32-bit PC (i386) and 64-bit PC (amd64)
- 64-bit ARM (arm64)
- ARM EABI (armel)
- ARMv7 (EABI hard-float ABI, armhf)
- MIPS (mips (big-endian) and mipsel (little-endian))
- 64-bit little-endian MIPS (mips64el)
- 64-bit little-endian PowerPC (ppc64el)
- IBM System z (s390x)
此次發行版異動 (完整清單可見 release note [3])
套件相關
相較 Debian 9, Debian 10 新增 13370 個套件, 更新 35532 個套件, 並移除 7278 個套件.
目前內含超過 57703 個套件.
主要套件更新訊息如下:
img src: https://www.debian.org/releases/stable/amd64/release-notes/ch-whats-new.en.html#newdistro
除此之外, 桌面套件也都進行升級
- Cinnamon 3.8,
- GNOME 3.30,
- KDE Plasma 5.14,
- LXDE 0.99.2,
- LXQt 0.14,
- MATE 1.20,
- Xfce 4.12.1-3. (注意 Xfce 主要版本並沒有變動, Debian 9使用 4.12.1-2. 兩者中間的異動主要跟 Debian 設定有關, 無關 Xfce 功能 [4])
重點功能
支援 UEFI Secure Boot 安全開機
UEFI Secure boot [5] 只允許載入已認可數位簽章啟動程式, 來避免開機程式遭惡意人士篡改. 因此透過 UEFI Secure Boot可讓啟動過程更安全. Secure boot 可用許多技術來達成, Debian 目前採用 UEFI Secure boot.
Debian 計畫在 amd64, i386, arm64 三個架構下支援 UEFI Secure Boot 功能 [6], 若有資安需求的用戶不妨可以開啟使用. 這邊要特別注意的是, 由於 Grub 使用 GPLv3 授權, 而 GPLv3 內有所謂的可刷機條款 – Tivoization [7]. 所以想使用 Debian Secure Boot 功能進行商品化販售的廠商需參考 MOK [8], 避免產生開源授權法律議題.
預設使用 AppArmor
Linux Security Module (LSM) [9] 是實現 Mandatory Access Control (MAC) [10] 的框架. MAC 為更嚴謹的作業系統控制方法, 作業系統中的安全策略由安全策略管理員集中控制, 用戶無權修改策略. 關於 LSM 的基本介紹, 網路上可查到許多資料, 這邊就不多贅述.
AppArmor 屬於 LSM 的一種實作方法, Debian 10 預設使用 AppArmor 以增進系統安全性.
預設啟動 usrmerge
透過 symbolic link, 將 bin, sbin, lib 指向 /usr 底下相對應目錄. 讓整體系統更乾淨, 簡潔並增加與其他 Unix-like 作業系統的兼容性.
- /bin -> /usr/bin
- /sbin -> /usr/sbin
- /lib -> /usr/lib
usrmerge 詳細說明可見這邊
預設使用 nftables 來取代 iptables
iptables 主要功能包含封包過濾, NAT, 以及封包修改. 而 nftables 自 kernel 3.13 引入後, 已逐漸取代 iptables. 除此之外, nftables 的功能可概括原本 iptables, ip6tables, arptables and ebtables. 詳細 nftables 介紹可參考這邊
在 Debian 10 中, 提供 iptables-nft 來進行往前相容, 但建議盡速切換成 nftables [11].
GNOME 默認使用Wayland
Debian 單純跟隨 GNOME 上游, 由 X.org 切換成 Wayland. 詳細內容可見這邊
提供可選之加固 APT
目前 APT 提供的方法 – http 以及 https, 除了cdrom, gpgv 和 rsh 外, 都可以使用 seccomp-BPF 限制允許執行的系統呼叫列表, 所有其他的系統調用會被 SIGSYS 信號捕獲. 此功能預設關閉, 可透過下列方式啟用:
APT::Sandbox::Seccomp 控制開啟/關閉
這裡有更多說明資訊, 另關於 seccomp 詳細介紹可參考這邊
Unattended-upgrades 提供 stable 版本自動升級機制
過去的 Unattended-upgrades 機制, 可讓機器自動安裝最新的安全更新. 從 Debian 10 開始也能支援自動安裝最新的 Stable 版本更新. Stable 版本更新是安全更新的宇集合.
此功能特別適合無人值守環境的機器.
References:
[1] https://wiki.debian.org/DebianBuster
[2] https://lists.debian.org/debian-devel-announce/2019/04/msg00003.html
[3] https://www.debian.org/releases/stable/amd64/release-notes/
[4] https://tracker.debian.org/news/902214/accepted-libxfce4ui-4121-3-source-into-unstable/
[5] https://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#SECURE-BOOT
[6] https://wiki.debian.org/SecureBoot
[7] https://en.wikipedia.org/wiki/Tivoization
[8] https://wiki.debian.org/SecureBoot#MOK_-_Machine_Owner_Key
[9] https://www.kernel.org/doc/html/latest/admin-guide/LSM/index.html
[10] https://en.wikipedia.org/wiki/Mandatory_access_control