5. Problemas a serem considerados para a trixie
Algumas vezes, mudanças introduzidas em uma nova versão têm efeitos colaterais que não podem ser evitados ou que acabam expondo bugs em outros locais. Esta seção documenta problemas conhecidos. Por favor, leia também a errata, a documentação dos pacotes relevantes, relatórios de bugs e outras informações mencionadas em Leitura complementar.
5.1. Itens a serem considerados ao atualizar para a trixie
Esta seção aborda itens relacionados à atualização da bookworm para a trixie.
5.1.1. Atualizações remotas interrompidas
Um problema no OpenSSH no bookworm pode levar à inacessibilidade de sistemas remotos caso uma atualização supervisionada por uma conexão SSH seja interrompida. Algumas pessoas podem não conseguir se reconectar ao sistema remoto para retomar a atualização.
Pacotes atualizados para o bookworm resolverão esse problema no Debian 12.12, mas esta versão ainda estava em preparação no momento do lançamento do trixie. Em vez disso, usuários(as) que planejam atualizar sistemas remotos por meio de uma conexão SSH devem primeiro atualizar o OpenSSH para a versão 1:9.2p1-2+deb12u7 ou superior por meio do mecanismo stable-updates.
5.1.2. Suporte reduzido para i386
Para a trixie, o i386 não é mais compatível como arquitetura regular: não há um kernel oficial nem um instalador Debian para sistemas i386. Há menos pacotes disponíveis para i386 porque muitos projetos não são mais compatíveis. O único propósito restante da arquitetura é permitir a execução de código legado, por exemplo, por meio de multiarch ou um chroot em um sistema 64-bit (amd64).
A arquitetura i386 agora se destina apenas ao uso em CPUs de 64 bits (amd64). Seus requisitos de conjunto de instruções incluem suporte a SSE2, portanto, não funcionará com sucesso na maioria dos tipos de CPU de 32 bits compatíveis com o Debian 12.
Quaisquer pessoas que utilizam sistemas i386 não devem atualizar para trixie. Em vez disso, o Debian recomenda reinstalá-los como amd64, quando possível, ou aposentar o hardware. Cross-grading sem uma reinstalação é uma alternativa tecnicamente possível, mas arriscada.
5.1.3. Último lançamento para armel
Para a trixie, o armel não é mais compatível como uma arquitetura regular: não há instalador Debian para sistemas armel, e apenas Raspberry Pi 1, Zero e Zero W são compatíveis com os pacotes do kernel.
Quaisquer pessoas que executam sistemas armel podem atualizar para a trixie, desde que seu hardware seja compatível pelos pacotes do kernel ou que usem um kernel de terceiros.
trixie será o último lançamento para a arquitetura armel. O Debian recomenda, sempre que possível, reinstalar os sistemas armel como armhf ou arm64, ou aposentar o hardware.
5.1.4. Arquiteturas MIPS removidas
Para a trixie, as arquiteturas mipsel e mips64el não são mais compatíveis com o Debian. Usuários(as) dessas arquiteturas são aconselhados a migrar para um hardware diferente.
5.1.5. Certifique-se de que /boot tenha espaço livre suficiente
Os pacotes do kernel Linux e dos firmwares tem aumentado consideravelmente em tamanho nas versões anteriores do Debian e em trixie. Como resultado, sua partição /boot pode ser muito pequena, causando falha na atualização. Se o seu sistema foi instalado com o Debian 10 (buster) ou anterior, é muito provável que ele tenha sido afetado.
Antes de iniciar a atualização, certifique-se de que sua partição /boot tenha pelo menos 768 MB de tamanho e cerca de 300 MB livres. Se o seu sistema não tiver uma partição /boot separada, não há nada a fazer.
Se /boot estiver em LVM e for muito pequeno, você pode usar lvextend para aumentar o tamanho de uma partição LVM <https://wiki.debian.org/LVM#Increase_the_size_of_a_partition_using_LVM>`__. Se ``/boot for uma partição separada, provavelmente será mais fácil reinstalar o sistema.
5.1.6. O diretório de arquivos temporários /tmp agora é armazenado em um tmpfs
Para a trixie, o padrão é que o diretório /tmp/ seja armazenado na memória usando um sistema de arquivos tmpfs(5). Isso deve tornar os aplicativos que usam arquivos temporários mais rápidos, mas se você colocar arquivos grandes lá, poderá ficar sem memória.
Para sistemas atualizados a partir do bookworm, o novo comportamento só é ativado após uma reinicialização. Os arquivos deixados em /tmp serão ocultados após a montagem do novo tmpfs, o que gerará avisos no diário do sistema ou no syslog. Esses arquivos podem ser acessados usando um bind-mount (consulte mount(1)): executar mount --bind / /mnt tornará o diretório subjacente acessível em /mnt/tmp (execute umount /mnt após limpar os arquivos antigos).
O padrão é alocar até 50% da memória para /tmp (este é o máximo: a memória só é usada quando os arquivos são criados em /tmp). Você pode alterar o tamanho executando systemctl edit tmp.mount como root e configurando, por exemplo:
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
(veja systemd.mount(5)).
Você pode retornar /tmp como um diretório regular executando systemctl mask tmp.mount como root e reinicializando.
Os novos padrões do sistema de arquivos também podem ser substituídos em /etc/fstab, portanto, sistemas que já definem uma partição /tmp separada não serão afetados.
5.1.7. openssh-server não lê mais ~/.pam_environment
O daemon Secure Shell (SSH) fornecido no pacote openssh-server, que permite logins de sistemas remotos, não lê mais o arquivo ~/.pam_environment do(a) usuário(a) por padrão; este recurso tem um histórico de problemas de segurança <https://bugs.debian.org/1030119>`__ e foi descontinuado nas versões atuais da biblioteca Pluggable Authentication Modules (PAM). Se você usou deste recurso, deve deixar de definir variáveis em ``~/.pam_environment e passar a defini-las nos seus arquivos de inicialização do shell (por exemplo, ~/.bash_profile ou ~/.bashrc) ou algum outro mecanismo semelhante.
As conexões SSH existentes não serão afetadas, mas novas conexões podem se comportar de forma diferente após a atualização. Se você estiver atualizando remotamente, normalmente é uma boa ideia garantir que haja outra maneira de fazer login no sistema antes de iniciar a atualização; consulte Preparar para recuperação.
5.1.8. OpenSSH não é mais compatível com chaves DSA
As chaves do Algoritmo de Assinatura Digital (DSA), conforme especificadas no protocolo Secure Shell (SSH), são inerentemente fracas: limitam-se a chaves privadas de 160 bits e ao algoritmo de resumo SHA-1. A implementação SSH fornecida pelos pacotes openssh-client e openssh-server desativou o suporte a chaves DSA por padrão desde o OpenSSH 7.0p1 em 2015, lançado com o Debian 9 (“stretch”), embora ainda pudesse ser habilitado usando as opções de configuração HostKeyAlgorithms e PubkeyAcceptedAlgorithms para chaves de host e de usuário(a), respectivamente.
Os únicos usos restantes para chaves DSA, neste momento, devem ser a conexão com alguns dispositivos muito antigos. Para todos os outros propósitos, os outros tipos de chaves oferecidos pelo OpenSSH (RSA, ECDSA e Ed25519) são superiores.
A partir do OpenSSH 9.8p1 na trixie, as chaves DSA não são mais compatíveis, mesmo com as opções de configuração acima. Se você tiver um dispositivo ao qual só consegue se conectar usando DSA, poderá usar o comando ssh1 fornecido pelo pacote openssh-client-ssh1 para fazer isso.
No caso improvável de você ainda estar usando chaves DSA para se conectar a um servidor Debian (se não tiver certeza, você pode verificar adicionando a opção -v à linha de comando ssh que usa para se conectar a esse servidor e procurando pela linha “Server accepts key:”), você deve gerar chaves de substituição antes de atualizar. Por exemplo, para gerar uma nova chave Ed25519 e habilitar logins em um servidor com ela, execute isto no cliente, substituindo username@server pelos nomes de usuário(a) e máquina apropriados:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.1.9. Os comandos last, lastb e lastlog foram substituídos
O pacote util-linux não fornece mais os comandos last ou lastb, e o pacote login não fornece mais lastlog. Esses comandos forneciam informações sobre tentativas de login anteriores usando /var/log/wtmp, /var/log/btmp, /var/run/utmp e /var/log/lastlog, mas esses arquivos não poderão ser usados após 2038 porque não alocam espaço suficiente para armazenar o horário de login (o Problema do Ano 2038 <https://theyear2038problem.com/>`__), e os desenvolvedores originais não querem alterar os formatos de arquivo. A maioria das pessoas não precisarão substituir esses comandos por nada, mas o pacote **util-linux** fornece um comando ``lslogins que pode informar quando as contas foram usadas pela última vez.
Há duas substituições diretas disponíveis: last pode ser substituído por wtmpdb do pacote wtmpdb (o pacote libpam-wtmpdb também precisa ser instalado) e lastlog pode ser substituído por lastlog2 do pacote lastlog2 (o libpam-lastlog2 também precisa ser instalado). Se quiser usá-los, você precisará instalar os novos pacotes após a atualização. Consulte o util-linux NEWS.Debian para mais informações. O comando lslogins --failed fornece informações semelhantes às do lastb.
Se você não instalar o wtmpdb, recomendamos remover os arquivos de log antigos /var/log/wtmp*. Se você instalar o wtmpdb, ele atualizará /var/log/wtmp e você poderá ler arquivos wtmp mais antigos com wtmpdb import -f <dest>. Não há ferramenta para ler os arquivos /var/log/lastlog* ou /var/log/btmp*: eles podem ser excluídos após a atualização.
5.1.10. Sistemas de arquivos criptografados precisam do pacote systemd-cryptsetup
O suporte para descoberta e montagem automática de sistemas de arquivos criptografados foi transferido para o novo pacote systemd-cryptsetup. Este novo pacote é recomendado pelo systemd e deve ser instalado automaticamente nas atualizações.
Certifique-se de que o pacote systemd-cryptsetup esteja instalado antes de reinicializar, se você usar sistemas de arquivos criptografados.
5.1.11. As configurações de criptografia padrão para dispositivos dm-crypt de modo simples foram alteradas
As configurações padrão para dispositivos dm-crypt criados usando criptografia em modo plain (consulte crypttab(5)) foram alteradas para melhorar a segurança. Isso causará problemas se você não registrar as configurações usadas em /etc/crypttab. A maneira recomendada de configurar dispositivos em modo plain é registrar as opções cipher, size e hash em /etc/crypttab; caso contrário, cryptsetup usará os valores padrão, e os padrões para algoritmos de cifra e hash foram alterados no trixie, o que fará com que tais dispositivos apareçam como dados aleatórios até que sejam configurados corretamente.
Isso não se aplica aos dispositivos LUKS porque o LUKS registra as configurações no próprio dispositivo.
Para configurar corretamente seus dispositivos em modo simples, supondo que eles foram criados com os padrões do bookworm, você deve adicionar cipher=aes-cbc-essiv:sha256,size=256,hash=ripemd160 em /etc/crypttab.
Para acessar esses dispositivos com cryptsetup na linha de comando, você pode usar --cipher aes-cbc-essiv:sha256 --key-size 256 --hash ripemd160. O Debian recomenda que você configure dispositivos permanentes com LUKS ou, se usar o modo simples, que registre explicitamente todas as configurações de criptografia necessárias em /etc/crypttab. Os novos padrões são cipher=aes-xts-plain64 e hash=sha256.
5.1.12. RabbitMQ não permite mais filas HA
Filas de alta disponibilidade (HA) não são mais permitidas pelo rabbitmq-server a partir da trixie. Para continuar com uma configuração de HA, essas filas precisam ser transformadas em “filas de quorum”.
Se você tiver uma implantação do OpenStack, transforme as filas para quorum antes de atualizar. Observe também que, a partir da versão “Caracal” do OpenStack na trixie, o OpenStack permite apenas filas de quorum.
5.1.13. O RabbitMQ não pode ser atualizado diretamente do bookworm
Não há um caminho de atualização direto e fácil para o RabbitMQ do bookworm para trixie. Detalhes sobre este problema podem ser encontrados no bug 1100165.
O caminho de atualização recomendado é limpar completamente o banco de dados do RabbitMQ e reiniciar o serviço (após a atualização para trixie). Isso pode ser feito excluindo /var/lib/rabbitmq/mnesia e todo o seu conteúdo.
5.1.14. As atualizações da versão principal do MariaDB só funcionam de forma confiável após um desligamento limpo
O MariaDB não oferece suporte à recuperação de erros entre as principais versões. Por exemplo, se um servidor MariaDB 10.11 sofreu um desligamento abrupto devido a uma queda de energia ou defeito de software, o banco de dados precisa ser reiniciado com os mesmos binários do MariaDB 10.11 para que possa realizar a recuperação de erros com sucesso e reconciliar os arquivos de dados e de log para fazer rollforward ou reverter transações que foram interrompidas.
Se você tentar fazer a recuperação de falha com o MariaDB 11.8 usando o diretório de dados de uma instância travada do MariaDB 10.11, o servidor MariaDB mais recente se recusará a iniciar.
Para garantir que um servidor MariaDB seja desligado corretamente antes de iniciar a atualização da versão principal, pare o serviço com
# service mariadb stop
seguido pela verificação dos logs do servidor para Desligamento concluído para confirmar que a descarga de todos os dados e buffers no disco foi concluída com sucesso.
Se o desligamento não for correto, reinicie-o para acionar a recuperação de falhas, aguarde, pare novamente e verifique se a segunda parada foi correta.
Para obter informações adicionais sobre como fazer backups e outras informações relevantes para administradores de sistema, consulte /usr/share/doc/mariadb-server/README.Debian.gz.
5.1.15. /etc/sysctl.conf não é mais honorado
No Debian 13, o systemd-sysctl não lê mais /etc/sysctl.conf. O pacote linux-sysctl-defaults inclui /usr/lib/sysctl.d/50-default.conf, que visa substituir o antigo /etc/sysctl.conf. Este pacote é recomendado pelo systemd e, portanto, será instalado por padrão em sistemas onde a instalação de pacotes recomendados não foi desativada.
Verifique se o linux-sysctl-defaults está instalado no seu sistema e se o conteúdo de /usr/lib/sysctl.d/50-default.conf está de acordo com suas expectativas. Considere colocar a configuração local em trechos de arquivo chamados /etc/sysctl.d/*.conf.
5.1.16. Ping não é mais executado com privilégios elevados
A versão padrão do ping (fornecida pelo iputils-ping) não é mais instalada com acesso ao recurso Linux CAP_NET_RAW, mas utiliza soquetes de datagrama ICMP_PROTO para comunicação de rede. O acesso a esses soquetes é controlado com base na associação do usuário ao grupo Unix, utilizando o sysctl net.ipv4.ping_group_range. Em instalações normais, o pacote linux-sysctl-defaults definirá esse valor como um valor amplamente permissivo, permitindo que usuários(as) sem privilégios usem o ping conforme o esperado, mas alguns cenários de atualização podem não instalar este pacote automaticamente. Consulte /usr/lib/sysctl.d/50-default.conf e a documentação do kernel para obter mais informações sobre a semântica desta variável.
5.1.17. Os nomes das interfaces de rede podem mudar
Usuários(as) de sistemas sem gerenciamento out-of-band fácil devem proceder com cautela, pois estamos cientes de duas circunstâncias em que os nomes de interface de rede atribuídos pelos sistemas trixie podem ser diferentes dos do bookworm. Isso pode causar interrupção da conectividade de rede ao reinicializar para concluir a atualização.
É difícil determinar se um determinado sistema é afetado antecipadamente sem uma análise técnica detalhada. As configurações reconhecidamente problemáticas são as seguintes:
Sistemas que usam o driver Linux i40e NIC, veja bug #1107187.
Sistemas onde o firmware expõe o objeto de tabela ACPI
_SUN, que anteriormente era ignorado por padrão no bookworm (systemd.net-naming-scheme v252), mas agora é usado pelo systemd v257 no trixie. Veja bug #1092176.Você pode usar o comando
$ udevadm test-builtin net_setup_linkpara verificar se a alteração do systemd por si só resultaria em um nome diferente. Isso precisa ser feito antes da reinicialização para finalizar a atualização. Por exemplo:
# After apt full-upgrade, but before reboot
$ udevadm test-builtin net_setup_link /sys/class/net/enp1s0 2>/dev/null
ID_NET_DRIVER=igb
ID_NET_LINK_FILE=/usr/lib/systemd/network/99-default.link
ID_NET_NAME=ens1 #< Notice the final ID_NET_NAME name is not "enp1s0"!
Usuários que precisam que os nomes permaneçam estáveis durante a atualização são aconselhados a criar arquivos systemd.link para “fixar” o nome atual antes da atualização.
5.1.18. Mudanças na configuração do dovecot
O conjunto de servidores de e-mail dovecot na trixie usa um formato de configuração incompatível com versões anteriores. Detalhes sobre as alterações de configuração estão disponíveis em docs.dovecot.org.
Para evitar um tempo de inatividade potencialmente prolongado, é altamente recomendável que você transfira sua configuração para um ambiente de preparação antes de iniciar a atualização de um sistema de e-mail de produção.
Observe também que alguns recursos foram removidos na versão 2.4. Em particular, o replicador desapareceu. Se você depende desse recurso, é aconselhável não atualizar para a trixie até encontrar uma alternativa.
5.1.19. Mudanças significativas no pacote libvirt
O pacote libvirt-daemon, que fornece uma API e um kit de ferramentas para gerenciar plataformas de virtualização, foi reformulado na trixie. Cada driver e backend de armazenamento agora vêm em um pacote binário separado, o que permite muito mais flexibilidade.
Durante as atualizações do bookworm, tomamos cuidado para manter o conjunto de componentes existente, mas, em alguns casos, a funcionalidade pode ser temporariamente perdida. Recomendamos que você revise cuidadosamente a lista de pacotes binários instalados após a atualização para garantir que todos os pacotes esperados estejam presentes; este também é um ótimo momento para considerar a desinstalação de componentes indesejados.
Além disso, alguns arquivos de configuração podem acabar marcados como “obsoletos” após a atualização. O arquivo /usr/share/doc/libvirt-common/NEWS.Debian.gz contém informações adicionais sobre como verificar se o seu sistema é afetado por esse problema e como lidar com ele.
5.1.20. Samba: mudanças na embalagem do Controlador de Domínio do Active Directory
A funcionalidade do Controlador de Domínio do Active Directory (AD-DC) foi separada do samba. Se você estiver usando esse recurso, precisará instalar o pacote samba-ad-dc.
5.1.21. Samba: módulos VFS
O pacote samba-vfs-modules foi reorganizado. A maioria dos módulos VFS agora está incluída no pacote samba. No entanto, os módulos para ceph e glusterfs foram divididos em samba-vfs-ceph e samba-vfs-glusterfs.
5.1.22. OpenLDAP TLS agora fornecido pelo OpenSSL
O suporte a TLS no cliente OpenLDAP libldap2 e no servidor slapd agora é fornecido pelo OpenSSL em vez do GnuTLS. Isso afeta as opções de configuração disponíveis, bem como o comportamento delas.
Detalhes sobre as opções alteradas podem ser encontrados em /usr/share/doc/libldap2/NEWS.Debian.gz.
Se nenhum certificado de CA TLS for especificado, o repositório confiável padrão do sistema será carregado automaticamente. Se você não quiser que as CAs padrão sejam usadas, configure explicitamente as CAs confiáveis.
Para mais informações sobre a configuração do cliente LDAP, consulte a página do manual ldap.conf.5. Para o servidor LDAP (slapd), consulte /usr/share/doc/slapd/README.Debian.gz e a página do manual slapd-config.5.
5.1.23. bacula-director: A atualização do esquema do banco de dados requer grandes quantidades de espaço em disco e tempo
O banco de dados Bacula passará por uma mudança substancial de esquema durante a atualização para trixie.
A atualização do banco de dados pode levar muitas horas ou até dias, dependendo do tamanho do banco de dados e do desempenho do seu servidor de banco de dados.
A atualização precisa temporariamente de cerca do dobro do espaço em disco usado atualmente no servidor de banco de dados, além de espaço suficiente para armazenar um despejo de backup do banco de dados Bacula em /var/cache/dbconfig-common/backups.
Ficar sem espaço em disco durante a atualização pode corromper seu banco de dados e impedir que a instalação do Bacula funcione corretamente.
5.1.24. dpkg: aviso: não é possível excluir o diretório antigo: …
Durante a atualização, o dpkg exibirá avisos como os seguintes, para vários pacotes. Isso se deve à finalização do projeto usrmerge, e os avisos podem ser ignorados com segurança.
Unpacking firmware-misc-nonfree (20230625-1) over (20230515-3) ...
dpkg: warning: unable to delete old directory '/lib/firmware/wfx': Directory not empty
dpkg: warning: unable to delete old directory '/lib/firmware/ueagle-atm': Directory not empty
5.1.25. Não há suporte para atualizações ignoradas
Como em qualquer outra versão do Debian, as atualizações devem ser realizadas a partir da versão anterior. Além disso, todas as atualizações de versão pontual devem ser instaladas. Consulte Inicie a partir de um Debian “puro”.
Não há suporte expresso para pular versões ao atualizar.
Para trixie, a finalização do projeto usrmerge requer que a atualização para bookworm seja concluída antes de iniciar a atualização do trixie.
5.1.26. O WirePlumber tem um novo sistema de configuração
O WirePlumber tem um novo sistema de configuração. Para a configuração padrão, você não precisa fazer nada; para configurações personalizadas, consulte /usr/share/doc/wireplumber/NEWS.Debian.gz.
5.1.27. Migração do strongSwan para um novo daemon charon
O conjunto de IKE/IPsec strongSwan está migrando do antigo charon-daemon (usando o comando ipsec(8) e configurado em /etc/ipsec.conf) para o charon-systemd (gerenciado com as ferramentas swanctl(8) e configurado em /etc/swanctl/conf.d). A versão trixie do metapacote strongswan extrairá as novas dependências, mas as instalações existentes não serão afetadas, desde que o charon-daemon seja mantido instalado. Recomenda-se que os(as) usuários(as) migrem suas instalações para a nova configuração seguindo a página de migração upstream.
5.1.28. Propriedades udev de sg3-utils ausentes
Devido ao bug 1109923 no sg3-utils, os dispositivos SCSI não recebem todas as propriedades do banco de dados “udev”. Se a sua instalação depende de propriedades injetadas pelo pacote sg3-utils-udev, migre-as ou esteja preparado para depurar falhas após reinicializar em trixie.
5.1.29. Fusos horários divididos para o pacote tzdata-legacy
Os nomes de fusos horários que não seguem a regra atual de tzada* dos nomes da região geográfica (continente ou oceano) e de nomes de cidades de **tzadata foram divididos para o pacote tzdata-legacy. Isto inclui os fusos horários US/*. Se a sua instalação utilizar uma dessas zonas horárias, será atualizada para utilizar um fuso horário equivalente. No entanto, existem bases de dados SQL, como PostgreSQL, e outros serviços que poderão ter copiado o nome para a sua configuração ou ficheiros de dados. Se necessário, pode instalar o pacote tzdata-legacy.
Para ver os fusos horário afetados, veja a lista de ficheiros tzdata-legacy.
5.1.30. Coisas para fazer antes de reinicializar
Quando o apt full-upgrade terminar, a atualização “formal” estará completa. Para a atualização da trixie, não é necessária nenhuma ação especial antes de executar uma reinicialização.
5.2. Itens não limitados ao processo de atualização
5.2.1. Os diretórios /tmp e /var/tmp agora são limpos regularmente
Em novas instalações, systemd-tmpfiles agora excluirá regularmente arquivos antigos em /tmp e /var/tmp enquanto o sistema estiver em execução. Essa alteração torna o Debian consistente com outras distribuições. Como há um pequeno risco de perda de dados, ele foi tornado “opt-in”: a atualização para o trixie criará um arquivo /etc/tmpfiles.d/tmp.conf que restabelece o comportamento antigo. Este arquivo pode ser excluído para adotar o novo padrão ou editado para definir regras personalizadas. O restante desta seção explica o novo padrão e como personalizá-lo.
O novo comportamento padrão é que os arquivos em /tmp sejam excluídos automaticamente após 10 dias a partir da última vez em que foram usados (e também após uma reinicialização). Os arquivos em /var/tmp são excluídos após 30 dias (mas não após uma reinicialização).
Antes de adotar o novo padrão, você deve adaptar quaisquer programas locais que armazenam dados em /tmp ou /var/tmp por longos períodos para usar locais alternativos, como ~/tmp/, ou informar ao systemd-tmpfiles para isentar o arquivo de dados da exclusão criando um arquivo local-tmp-files.conf em /etc/tmpfiles.d contendo linhas como:
x /var/tmp/my-precious-file.pdf
x /tmp/foo
Consulte systemd-tmpfiles(8) e tmpfiles.d(5) para obter mais informações.
5.2.2. Mensagem do systemd: O sistema está contaminado: unmerged-bin
systemd upstream, desde a versão 256, considera sistemas com diretórios /usr/bin e /usr/sbin separados dignos de nota. Na inicialização, o systemd emite uma mensagem para registrar este fato: System is tainted: unmerged-bin.
Recomenda-se ignorar esta mensagem. Mesclar esses diretórios manualmente não está disponível e interromperá atualizações futuras. Mais detalhes podem ser encontrados no bug #1085370.
5.2.3. Limitações no suporte de segurança
Há alguns pacotes onde o Debian não pode prometer fornecer portes retroativos mínimos para problemas de segurança. Esses são abordados nas subseções a seguir.
Nota
O pacote debian-security-support ajuda a acompanhar a situação do suporte de segurança dos pacotes instalados.
5.2.3.1. Situação da segurança dos navegadores web e seus motores de renderização
O Debian 13 inclui diversos motores de navegadores que são afetados por um fluxo constante de vulnerabilidades de segurança. A alta taxa de vulnerabilidades e a ausência parcial de suporte do upstream na forma de ramos de longo prazo tornam muito difícil o suporte a esses navegadores e motores com correções de segurança portadas retroativamente. Além disso, as interdependências das bibliotecas tornam extremamente difícil atualizar para versões upstream mais novas. As aplicações que usam o pacote-fonte webkit2gtk (por exemplo, epiphany) são cobertos pelo suporte de segurança, mas aplicações que usam qtwebkit (pacote-fonte qtwebkit-opensource-src) não.
Para navegadores web de uso geral, nós recomendamos o Firefox ou o Chromium. Eles serão mantidos atualizados reconstruindo as versões ESR correntes para a versão estável (stable). A mesma estratégia será aplicada para o Thunderbird.
Quando uma versão se torna oldstable, os navegadores oficialmente habilitados podem não continuar a receber atualizações durante o período padrão de cobertura. Por exemplo, o Chromium receberá apenas 6 meses de suporte de segurança em oldstable ao invés dos 12 meses típicos.
5.2.3.2. Pacotes baseados em Go e Rust
Atualmente, a infraestrutura do Debian apresenta problemas para reconstruir pacotes de tipos que sistematicamente usam ligação estática. Antes da buster, isso não era um problema na prática, mas com o crescimento do ecossistema Go, isso significa que os pacotes baseados em Go serão cobertos por suporte de segurança limitado até que a infraestrutura seja aprimorada para lidar com eles de forma a facilitar a sua manutenção.
Na maioria dos casos, se forem necessárias atualizações para bibliotecas de desenvolvimento Go ou Rust, elas só serão lançadas por meio de lançamentos pontuais regulares.
5.2.4. Problemas com VMs em PowerPC little-endian de 64 bits (ppc64el)
Atualmente, o QEMU sempre tenta configurar máquinas virtuais PowerPC para habilitar páginas de memória de 64 kiB. Isso não funciona para máquinas virtuais aceleradas por KVM ao usar o pacote de kernel padrão.
Se o sistema operacional convidado puder usar um tamanho de página de 4 kiB, você deverá definir a propriedade da máquina
cap-hpt-max-page-size=4096. Por exemplo:$ kvm -machine pseries,cap-hpt-max-page-size=4096 -m 4G -hda guest.img
Se o sistema operacional convidado exigir um tamanho de página de 64 kiB, você deverá instalar o pacote linux-image-powerpc64le-64k; consulte Tamanho de página Little-Endian PowerPC (ppc64el) de 64 bits.
5.3. Obsolescência e depreciação
5.3.1. Pacotes obsoletos dignos de nota
A seguinte lista é de pacotes conhecidos e obsoletos dignos de nota (veja Pacotes obsoletos para uma descrição).
A lista de pacotes obsoletos inclui:
O pacote libnss-gw-name foi removido de trixie. O desenvolvedor original sugere usar libnss-myhostname em seu lugar.
O pacote pcregrep foi removido de trixie. Ele pode ser substituído por
grep -P(--perl-regexp) oupcre2grep(de pcre2-utils).O pacote request-tracker4 foi removido da trixie. Seu substituto é o request-tracker5, que inclui instruções sobre como migrar seus dados: você pode manter o pacote request-tracker4, agora obsoleto, do bookworm instalado durante a migração.
Os pacotes git-daemon-run e git-daemon-sysvinit foram removidos da trixie por motivos de segurança.
Os pacotes nvidia-graphics-drivers-tesla-470 não são mais compatíveis pelo upstream e foram removidos da trixie.
O pacote deborphan foi removido da trixie. Para remover pacotes desnecessários, use
apt autoremove, apósapt-mark minimize-manual. debfoster também pode ser uma ferramenta útil.O pacote pcregrep foi removido da trixie. Ele pode ser substituído pelos pacotes tealdeer ou tldr-py.
O pacote tpp (Programa de Apresentação de Texto) foi removido da trixie. Ele pode ser substituído pelos pacotes lookatme ou patat.
5.3.2. Componentes obsoletos para a trixie
Com a próxima versão do Debian 14 (codinome forky), alguns recursos ficarão obsoletos. Os usuários precisarão migrar para outras alternativas para evitar problemas quando atualizarem para o Debian 14.
Isso inclui os seguintes recursos:
O pacote sudo-ldap será removido no forky. A equipe do sudo do Debian decidiu descontinuá-lo devido a dificuldades de manutenção e uso limitado. Sistemas novos e existentes devem usar libsss-sudo.
Atualizar o Debian trixie para o forky sem concluir esta migração pode resultar na perda da escalada de privilégios pretendida.
Para mais detalhes, consulte o bug 1033728 e o arquivo NEWS no pacote sudo.
O recurso sudo_logsrvd, usado para registrar entradas/saídas do sudo, pode ser removido no Debian forky, a menos que um mantenedor se apresente. Este componente tem uso limitado no contexto do Debian, e mantê-lo adiciona complexidade desnecessária ao pacote sudo básico.
Para discussões em andamento, veja bug 1101451 e o arquivo NEWS no pacote sudo.
O pacote libnss-docker não é mais desenvolvido pelo upstream e requer a versão 1.21 da API do Docker. Essa versão obsoleta da API ainda é compatível com a Docker Engine v26 (fornecido pelo Debian trixie), mas será incompatível com a Docker Engine v27+ (fornecido pelo Debian forky). A menos que o desenvolvimento do upstream seja retomado, o pacote será removido do Debian forky.
Os pacotes openssh-client e openssh-server atualmente permitem autenticação e troca de chaves GSS-API, que geralmente são usadas para autenticar serviços Kerberos. Isso causou alguns problemas, especialmente no lado do servidor, em que uma nova superfície de ataque de pré-autenticação é adicionada, e os principais pacotes OpenSSH do Debian deixarão de permiti-lo a partir de forky.
Se você estiver usando autenticação ou troca de chaves GSS-API (procure opções que comecem com
GSSAPInos seus arquivos de configuração do OpenSSH), instale agora o pacote openssh-client-gssapi (em clientes) ou openssh-server-gssapi (em servidores). Em trixie, esses são pacotes vazios, dependendo de openssh-client e openssh-server, respectivamente; em forky, eles serão construídos separadamente.sbuild-debian-developer-setup foi descontinuado em favor de sbuild+unshare
sbuild, a ferramenta para construir pacotes Debian em um ambiente mínimo, passou por uma grande atualização e deve funcionar imediatamente. Como resultado, o pacote sbuild-debian-developer-setup não é mais necessário e foi descontinuado. Você pode experimentar a nova versão com:
$ sbuild --chroot-mode=unshare --dist=unstable hello
Os pacotes fcitx foram descontinuados em favor do fcitx5
O framework de métodos de entrada fcitx, também conhecido como fcitx4 ou fcitx 4.x, não é mais mantido no upstream. Como resultado, todos os pacotes de métodos de entrada relacionados estão obsoletos. O pacote fcitx e os pacotes com nomes que começam com fcitx- serão removidos do Debian forky.
Usuários(as) existentes do fcitx são incentivados a migrar para o fcitx5 seguindo o guia de migração upstream do fcitx e a página Debian Wiki.
O pacote de gerenciamento de máquina virtual lxd não está mais sendo atualizado e os usuários devem migrar para o incus.
Após a Canonical Ltd. alterar a licença usada pelo LXD e introduzir um novo requisito de atribuição de direitos autorais, o projeto Incus foi iniciado como uma bifurcação mantida pela comunidade (veja bug 1058592). O Debian recomenda que você migre do LXD para o Incus. O pacote incus-extra inclui ferramentas para migrar contêineres e máquinas virtuais do LXD.
O conjunto isc-dhcp está obsoleto no upstream.
Se estiver usando o NetworkManager ou o systemd-networkd, você pode remover com segurança o pacote isc-dhcp-client, pois ambos fornecem sua própria implementação. Se estiver usando o pacote ifupdown, o dhcpcd-base fornece um substituto. O ISC recomenda o pacote Kea como substituto para servidores DHCP.
O desenvolvimento do KDE Frameworks 5 foi interrompido.
Os projetos KDE upstream mudaram seus esforços de desenvolvimento para as bibliotecas KDE Frameworks 6 baseadas em Qt 6, e as KDE Frameworks 5 baseadas em Qt 5 não estão mais sendo mantidas.
A equipe Debian Qt / KDE planeja remover o KDE Frameworks 5 do Debian durante o ciclo de desenvolvimento forky.
5.4. Bugs severos conhecidos
Apesar de o Debian ser lançado quando está pronto, isso infelizmente não significa que não existam bugs conhecidos. Como parte do processo de lançamento, todos os bugs com severidade séria ou mais alta são ativamente acompanhados pela Equipe de Lançamento, assim uma visão geral desses bugs que foram marcados para serem ignorados na última parte do lançamento da trixie podem ser encontrados no Sistema de Acompanhamento de Bugs do Debian. Os seguintes bugs afetavam a trixie no momento do lançamento e merecem menção neste documento:
Número do bug |
Pacote (fonte ou binário) |
Descrição |
|---|---|---|
akonadi-backend-mysql |
O servidor akonadi não é robusto contra atualizações do MySQL |
|
apt |
apt update deixa silenciosamente dados de índice antigos |
|
artha |
Falha de segmentação |
|
bacula-director-sqlite3 |
bacula-common: preinst aborta intencionalmente a atualização autônoma do bacula-director |
|
src:e2fsprogs |
mc: erro ao carregar bibliotecas compartilhadas: libcom_err.so.2: não é possível abrir o arquivo de objeto compartilhado |
|
flash-kernel |
Uma versão superior (…) ainda está instalada, sem necessidade de atualização |
|
gcc-offload-amdgcn |
falha ao dist-upgrade do bookworm para o trixie |
|
git-merge-changelog |
git-merge-changelog perde ou corrompe entradas do ChangeLog |
|
src:grub2 |
upgrade-reports: O Dell XPS 9550 falha ao inicializar após a atualização do bullseye para o bookworm - bug de interação grub/bios? |
|
grub-efi-amd64 |
upgrade-reports: Bookworm para Trixie [amd64][EFI] falha na descompactação do initramfs, mágica inválida no início do arquivo compactado |
|
grub-efi-amd64 |
Opção de inicialização UEFI removida após atualização para grub2 2.02~beta3-5+deb9u1 |
|
grub-efi-amd64 |
a atualização funciona, a inicialização falha (error: symbol grub_is_lockdown not found) |
|
kmod |
initramfs-tools 146 gera initramfs incorreto: não inicializa, não encontra o fs raiz |
|
libreoffice-core |
Arquivos abertos simultaneamente no mesmo host resultam na exclusão do arquivo |
|
src:librsvg |
Contém arquivos gerados cuja origem não é necessariamente a mesma versão que está no arquivo principal |
|
src:linux |
linux-image-6.12.35+deb13-amd64: trava durante a inicialização, antes do prompt da senha do dmcrypt |
|
src:linux |
Interrompe a passagem PCI (vfio) para convidados de VM |
|
liblldb-dev |
falha ao dist-upgrade do bookworm para o trixie |
|
libmlir-17t64 |
libmlir-17t64 é desinstalável |
|
src:llvm-toolchain-18 |
llvm-toolchain-*: o código de montagem parece depender dos recursos da CPU de construção |
|
libc++-18-dev,libunwind-18-dev,libc++abi1-18,libc++abi-18-dev,libunwind-18 |
libc++-18-dev falha na coinstalação |
|
libmlir-18 |
libmlir-18 é Multi-Arch: o mesmo, mas falha na coinstalação |
|
src:llvm-toolchain-19 |
llvm-toolchain-*: o código de montagem parece depender dos recursos da CPU de construção |
|
llvm-19 |
llvm-toolchain-19: insolvência/compilações incorretas em i386 |
|
libmlir-19 |
libmlir-19 falha na coinstalação |
|
mbox-importer |
falha ao dist-upgrade do bookworm para o trixie (removido durante dist-upgrade) |
|
openshot-qt |
não inicia de jeito nenhum – AttributeError: o objeto do tipo ‘GreenSocket’ não tem o atributo ‘sendmsg’ |
|
python3.13 |
Um objeto referenciado apenas por seu próprio __dict__ pode ser coletado muito cedo |
|
src:shim |
Suporte a compilações sem raiz por padrão |
|
snapd |
aplicativos snap baseados em core18 não funcionam com fontes-cantarell contendo fonte variável |
|
python3-tqdm |
falha de segmentação no método destruidor |
|
src:vala |
Envia arquivos gerados automaticamente que não podem ser regenerados com o código no Debian principal (main) |
|
voctomix-gui |
não é possível importar SafeConfigParser |
|
src:xen |
xen-hypervisor-4.14-amd64: xen dmesg mostra (XEN) AMD-Vi: IO_PAGE_FAULT no dispositivo sata pci |