Debian 10 Buster

Debian GNU/Linux est une distribution communautaire entièrement construite avec des logiciels libres. Sa version 10, nom de code Buster (en référence au chien d’Andy dans Toy Story 2), a été publiée le 6 juillet 2019.

Debian 10

Buster est disponible officiellement sur dix architectures différentes : AMD64, ARM64, ARMel, ARMhf, i386, MIPS, MIPS64el, MIPSel, PowerPC64el et s390x (les mêmes que pour Stretch, la précédente version).

Cette nouvelle version de Debian GNU/Linux contient plus de 51 000 paquets, dont 15 000 nouveaux. Par ailleurs, 6 000 paquets ont été supprimés depuis Stretch.

Parmi les nouveautés, la sécurité est à l’honneur avec la prise en charge de SecureBoot pour les architectures les plus répandues, l’activation d’[[AppArmor]] sur les nouvelles installations, le choix de [[Wayland]] comme serveur d’affichage par défaut pour [[GNOME]], ou encore les avancées concernant le chantier des compilations reproductibles.


Nouveautés de Debian 10 Notes de publication pour Debian 10 (« Buster ») Debian Buster Artwork [PDF] Carte de référence Debian Annonce de la publication Annonce Debian Edu


Présentation

Le projet [[Debian]] a été initié par Ian Murdock en 1993. C’est l’un des premiers systèmes d’exploitations à utiliser un noyau Linux.

Le projet est développé internationalement par des bénévoles grâce à Internet. Le Debian Project Leader élu chaque année (actuellement Sam Hartman, qui succède à Chris Lamb) guide cette communauté en s’appuyant sur le Contrat social Debian et Les principes du logiciel libre selon Debian.

Réputée pour sa stabilité, Debian sert de base à de nombreuses autres distributions. Le site DistroWatch en dénombre 132 actives dont les populaires Ubuntu, Linux Mint, Tails ou Raspbian. Pour assurer cette stabilité, le cycle de développement d’une nouvelle version est en général de plusieurs années. La sortie de Buster aura ainsi nécessité plus de deux ans de préparation.

Debian est une distribution généraliste. Elle fournit des outils autant pour la bureautique (LibreOffice, Thunderbird, GNOME, KDE, Xfce…), que pour le développement (GCC, Emacs, Vim, JDK, etc.), les serveurs Web (Apache, nginx), messagerie (Postfix…), virtualisation (KVM), conteneurisation (LXC, Docker…).

La liste des utilisateurs officiellement déclarés contient des entreprises comme Blackblaze, des organisations à but non lucratif comme TuxFamily, des institutions éducatives ou encore des organisations gouvernementales comme l’INSEE.

Cycle de développement

À partir de la publication de Stretch en juin 2017, Buster est entrée dans sa phase de développement durant laquelle les paquets ajoutés dans le dépôt unstable migraient automatiquement dans testing au bout de quelques jours.

Après environ un an et demi de développement, les vannes se sont fermées et Buster est progressivement entrée dans sa phase de gel, composée de trois étapes.

Transition freeze

Le gel de transition a débuté le 12 janvier 2019, interdisant les transitions de grande ampleur (comme les bibliothèques dont dépendent beaucoup de logiciels) et les migrations de paquets introduisant de nouvelles régressions.

Soft freeze

Le gel léger a débuté le 12 février 2019, pendant lequel le délai de migration était fixé à au moins dix jours et interdisant l’entrée (ou le retour) dans testing des paquets absents de testing.

Full freeze

Le gel complet a débuté le 12 mars 2019, qui a restreint les migrations aux corrections de bogues critiques pour la publication et aux bogues marqués importants dans les paquets optionnels.

Debian 10

Nouveautés

Paquets mis à jour

Côté plomberie :

  • Linux 4.9 → 4.19 ;
  • GCC 6.3 → 8.3 ;
  • glibc 2.24-11 → 2.28-10 ;
  • Python 3.5.3 → 3.7.3.

Quelques environnements graphiques :

Quelques applications :

  • GIMP 2.8 → 2.10.8 (qui inclut les nouveautés des versions précédentes de la série 2.10) ;
  • Firefox ESR 52 puis 60 → 60 (Firefox ESR bénéficie d’une exception pour recevoir les mises à jour de versions majeures dans la version stable de Debian) ;
  • LibreOffice 5.2 → 6.1 (qui inclut les nouveautés des versions intermédiaires) ;
  • GnuPG 2.1 → 2.2 ;
  • PostgreSQL 9.6 → 11.3 ;
  • Flatpak 0.8 → 1.2.

Nouveaux paquets intéressants

Paquets supprimés notables

  • manpages-fr, qui n’était plus maintenu depuis 2014, a été supprimé de Buster suite à l’ouverture du bogue n^(o) 871564 ; la traduction des pages de manuel a depuis repris, de même que leur empaquetage ; hélas, le nouveau paquet n’a pas pu être prêt avant le gel ;
  • Amarok, suite à la transition de Qt4 vers Qt5 dans Debian (Amarok est resté en Qt4) ;
  • debian-doc-fr, qui n’était plus mis à jour depuis… douze ans !
  • [[Redmine]], suite à la transition vers Ruby on Rails 5 dans Debian ; contrairement au cas d’Amarok, une version de Redmine fonctionnant avec RoR5 existe mais n’a pas été empaquetée à temps.

iptables est remplacé par nftables

Le cadriciel iptables est remplacé par nftables. Debian Buster contiendra néanmoins des outils pour pouvoir continuer à utiliser iptables, mais recommande fortement de migrer vers nftables.

AppArmor activé par défaut

Sur les nouvelles installations, [[AppArmor]] sera dorénavant activé par défaut. AppArmor fournira par défaut des profils pour certains programmes (Apache, GnuPG, Bash…), tandis que d’autres programmes seront livrés avec leur propre profil AppArmor. Enfin, le paquet apparmor-profiles-extra fournira des profils supplémentaires pour les paquets n’embarquant pas leur propre profil de confinement AppArmor.

Si vous faites la mise à niveau vers Buster, il suffit de vérifier que le paquet apparmor est bien installé pour profiter de ses fonctionnalités.

SecureBoot avec UEFI

Absente lors de la sortie de Stretch, la prise en charge de SecureBoot avec [[UEFI]] est enfin d’actualité avec Buster, pour les architectures AMD64, i386 et ARM64.

Cf. https://debamax.com/blog/2019/04/19/an-overview-of-secure-boot-in-debian.

Pour profiter de SecureBoot à l’occasion d’une mise à niveau vers Buster, il faut installer les paquets shim-signed, grub-efi-amd64-signed ou grub-efi-ia32-signed et activer l’UEFI.

/usr fusionné pour les nouvelles installations

Sur les nouvelles installations, l’arborescence du système de fichiers est modifiée comme indiqué ci‐dessous :

/bin/usr/bin ; /sbin/usr/sbin ; /lib/usr/lib.

Les anciens répertoires deviennent des liens symboliques pointant vers les nouveaux.

En cas de mise à niveau vers Buster, le système de fichiers n’est pas modifié, mais vous pouvez installer le paquet usrmerge pour lancer manuellement la conversion.

Application du nouveau schéma de nommage pour les périphériques réseau

Depuis Stretch, les nouvelles installations utilisent un nouveau schéma de nommage pour les périphériques réseau. Ainsi, les interfaces ne se nomment plus eth0 ou wlan0 mais ont plutôt des noms ressemblant à enp1s1 ou wlp3s0.

À partir de Buster, ce changement s’appliquera aussi aux installations existantes. Une section des notes de publication détaille comment anticiper ce changement ou, au contraire, conserver l’ancien schéma de nommage.

Adoption de Wayland dans la session par défaut

Avec la mise à jour de GNOME vers la version 3.30 est venu un changement important : le passage de X.Org à Wayland comme serveur d’affichage par défaut pour cet environnement graphique. Si beaucoup de problèmes ont été corrigés au fil du temps, tout n’est pas encore parfait, par exemple du point de vue de l’accessibilité. Ainsi, certains ont récemment fait connaître leurs inquiétudes concernant l’ampleur de cette transition et le peu de discussion qui l’a accompagnée.

Un rapport de bogue a été écrit pour lancer cette discussion et il a été convenu qu’il restait trop peu de temps avant la publication de Buster pour revenir en arrière, et qu’on n’aurait pas assez de temps pour éprouver correctement un retour à X.Org. Par comparaison, Fedora propose Wayland par défaut depuis la version 25 (sortie en novembre 2016, basée sur GNOME 3.22), mais aussi [[SUSE Linux Enterprise Desktop]] 15 (juin 2018, GNOME 3.26) et [[RHEL]] 8 (mai 2019, GNOME 3.28).

Toutes les applications ne tournent pas encore nativement sous Wayland (Firefox, Thunderbird et GIMP, par exemple, sont en cours de conversion), mais grâce au composant XWayland qui fournit une couche intermédiaire vous n’y verrez que du feu.

Petite exception, toutefois, pour le gestionnaire de paquets graphique Synaptic, par exemple, dont le modèle de permission n’est pas compatible avec les règles de sécurité de Wayland : il ne se lancera que dans un mode que l’on pourrait qualifier de « lecture seule » : Avertissement au lancement de Synaptic À la place, il vous faudra utiliser un outil graphique comme la Logithèque GNOME, ou les outils habituels en ligne de commande.

Attention au coup de la panne

Les notes de publication avertissent au sujet d’un problème potentiel lors du démarrage des systèmes sous Buster. En effet, faute d’avoir suffisamment d’entropie, un système pourrait mettre jusqu’à plusieurs heures à démarrer. Un contournement par défaut est appliqué pour les systèmes AMD64 récents, et les notes de publication proposent d’autres options pour les autres architectures et les machines virtuelles.

Un article passionnant décrit ce problème en détail et énumère un grand nombre de solutions ainsi que leurs avantages et leurs inconvénients. Le wiki de Debian résume également ces informations.

Quel navigateur Web privilégier ?

Debian ne conseille pas véritablement un navigateur, mais prévient que tous les navigateurs proposés dans Debian ne sont pas égaux en termes de suivi des failles de sécurité. De ce point de vue, il vaut mieux privilégier un navigateur s’appuyant sur le paquet webkit2gtk (c.-à-d. Luakit, Midori, surf ou GNOME Web), Firefox ou encore Chromium.

Avancement des compilations reproductibles

Le projet Reproducible Builds a pour objectif de rendre la compilation des paquets déterministe afin de toujours obtenir le même binaire à partir des mêmes sources (et du même environnement de compilation). Cela permettra de vérifier que les paquets distribués sont bien ceux qu’ils prétendent être.

Même si Buster serait en théorie reproductible à 93 %, elle ne le sera en pratique qu’à 54 %. La différence s’explique par des paquets construits avant décembre 2016 qui n’ont jamais été reconstruits depuis, pour 24 % du total, ainsi que 12 % de paquets ayant reçu une modification binaire pour une architecture spécifique et affectés par le bogue n^(o) 894441.

Évolution de reproductibilité depuis 2014

Un point sur les Debian Pure Blends

Les Debian Pure Blends sont des variantes de Debian adaptées à certains groupes d’utilisateurs. Il ne s’agit pas de divergences (forks), mais bien d’ensembles de paquets composés uniquement à partir de paquets Debian. Cela signifie que vous pouvez installer ces variantes soit en utilisant les médias (images d’installation ou autonomes) fournis par chaque projet, soit en installant le méta‐paquet dédié sur une installation Debian classique.

Parmi les nombreuses variantes, on trouve notamment :

Les titres auxquels vous avez échappé pour cette dépêche

Teckel

  • « Le chien entre en scène » ;
  • « Une distribution qui ne manque pas de mordant » ;
  • « Le meilleur ami du libriste » ;
  • « La version qui décOUAF ! » ;
  • « La distribution qui tonne » ;
  • « Buster, nom d’un OS » ;
  • « Buster lâche son os » ;
  • « Buster, une distrib’ au poil ».

N’hésitez pas à proposer vos idées dans les commentaires !

Revue de presse (non exhaustive)

Et après ?

Certains projets se dessinent déjà pour l’après Buster :

La version 11 de Debian s’appellera Bullseye (le cheval de Woody) et sortira… quand elle sera prête !

Bon, c’est pas tout ça, mais je fais quoi maintenant moi aujourd’hui : j’installe la nouvelle version de Debian ou je vais voir au cinéma le nouvel épisode de Toy Story ?