Saltar al contenuto
openSUSE Leap 15.0

Note di rilascio

openSUSE Leap è un sistema operativo libero e gratuito basato su Linux adatto a PC, computer portatili o server. È possibile navigare in rete, gestire le proprie e-mail e fotografie, svolgere attività d'ufficio, guardare video, ascoltare musica e divertirsi!

Collaboratori: Andrea Florio, * Andrea Turrini, * Eugenio Mastroviti, * Giuseppe Bevacqua, * Luca Giusti, * Ezio Tonetto, * Roberta Di Mitri, e * Alberto Passalacqua
Data di pubblicazione: 2019-11-26, Versione: 15.0.20191126

È stato raggiunto il termine del periodo di manutenzione di openSUSE Leap 15.0. Per mantenere il sistema aggiornato e sicuro, passare ad una versione corrente di openSUSE. Prima di avviare l'aggiornamento, verificare che siano stati applicati tutti gli aggiornamenti di mantenimento per openSUSE Leap 15.0.

Per ulteriori informazioni sull'aggiornamento alla versione corrente di openSUSE, si veda http://en.opensuse.org/SDB:Distribution-Upgrade.

Se si aggiorna da una versione vecchia a questo rilascio di openSUSE Leap, conviene leggere le note di rilascio precedenti qui: http://en.opensuse.org/openSUSE:Release_Notes.

Le informazioni sul progetto sono disponibili su https://www.opensuse.org.

1 Installazione

Questa sezione contiene le note relative all'installazione. Per avere istruzioni dettagliate sull'aggiornamento, fare riferimento alla documentazione in https://doc.opensuse.org/documentation/leap/startup/html/book.opensuse.startup/part.basics.html.

Si raccomanda di verificare Sezione 4, «Driver e hardware».

1.1 Usare gli aggiornamenti atomici con il nuovo ruolo di sistema server transazionale

L'installatore ora supporta un nuovo ruolo di sistema, server transazionale, che rappresenta il risultato degli sforzi di openSUSE Kubic. Questo ruolo di sistema include un metodo di aggiornamento che applica gli aggioramenti in maniera atomica (come operazione singola) e ne rende semplice il ripristino qualora diventasse necessario. Queste funzionalità sono basate sui sistemi di gestione dei pacchetti su cui tutte le altre distribuzioni SUSE e openSUSE fanno affidamento. Ciò significa che la larga maggioranza di pacchetti RPM che funzionano con altri ruoli di sistema di openSUSE Leap 15.0, funzionano anche con il ruolo di sistema server transazionale.

Nota
Nota: Pacchetti incompatibili

Alcuni pacchetti modificano i contenuti di /var o /srv nei %post script all'interno del relativo RPM. Questi pacchetti sono incompatili. Qualora si dovesse rinvenire un pacchetto del genere, compilare una segnalazione d'errore.

Per fornire queste funzionalità, questo aggiornamento del sistema fa affidamento su:

  • Istantanee Btrfs.  Prima dell'avvio del sistema, viene creata una nuova istantanea Btrfs del file system radice. Successivamente, tutte le modifiche effettuate con l'aggiornamento vengono installate in tale istantanea. Per completare l'aggiornamento, è quindi possibile riavviare il sistema sulla nuova istantanea.

    Per annullare l'aggiornamento, basta avviare il sistema dall'istantanea precedente.

  • Un file system radice di sola lettura.  Per evitare problemi di aggiornamento e conseguente perdita di dati, il file system radice non deve essere scritto in nessuma maniera. Pertanto, il file system radice è montato in sola lettura durante la normale operazione.

    Per fare in modo che questa impostazione funzioni, sono state necessarie due ulteriori modifiche al file system: per consentire la scrittura della configurazione utente in /etc, questa directory è configurata automaticamente per usare OverlayFS. /var è ora un sottovolume separato su cui i processi possono scrivere.

Importante
Importante: Transactional Server Needs At Least 12 GB of Disk Space

The system role Transactional Server needs a disk size of at least 12 GB to accommodate Btrfs snapshots.

Per lavorare con gli aggiornamenti transazionali, usare sempre il comando transactional-update per la gestione di tutti i programmi invece di YaST e Zypper:

  • Aggiornamento del systema: transactional-update up

  • Installazione di un pacchetto: transactional-update pkg in NOME_PACCHETTO

  • Rimozione di un pacchetto: transactional-update pkg rm NOME_PACCHETTO

  • Per tornare indietro dall'ultima istantanea, ovvero l'ultimo insieme di modifiche al file system radice, assicurarsi che il proprio sistema sia avviato sull'ultima istantanea ed eseguire: transactional-update rollback

    Facoltativamente, aggiungere un ID di istantanea alla fine del comando per ritornare a quella specifica istantanea.

When using this system role, by default, the system will perform a daily update and reboot between 03:30 am and 05:00 am. Both of these actions are systemd-based and if necessary can be disabled using systemctl:

tux@linux > sudo systemctl disable --now transactional-update.timer rebootmgr.service

Per maggiori informazioni sugli aggiornamenti transazionali, fare riferimento agli interventi sul blog openSUSE Kubic https://kubic.opensuse.org/blog/2018-04-04-transactionalupdates/ e https://kubic.opensuse.org/blog/2018-04-20-transactionalupdates2/.

1.2 Installazione minimale del sistema

L'installazione del sistema minimale manca di certe funzionalità che sono spesso date per scontate:

  • Non contiene un programma di interfaccia per il firewall. È possibile installare in aggiunta il pacchetto firewalld.

  • Non contiene YaST. È possibile installare in aggiunta il modello patterns-yast-yast2_basis.

1.3 Installing on Hard Disks With Less Than 12 GB of Capacity

The installer will only propose a partitioning scheme if the available hard disk size is larger than 12 GB. If you want to set up, for example, very small virtual machines images, use the guided partitioner to tune partitioning parameters manually.

1.4 UEFI—Unified Extensible Firmware Interface

Prima di installare openSUSE su un sistema che si avvia usando UEFI (Unified Extensible Firmware Interface), si verifichi urgentemente se esiste un aggiornamento del firwmare raccomandato dal fornitore dell'hardware e, se disponibile, lo si installi. Un sistema Windows 8 u successivo pre-installato indica che quasi sicuramente il sistema si avvia usando UEFI.

Informazioni di base: alcuni firmware UEFI presentano dei bug che ne causano il malfunzionamento quando si scrive una quantità di dati eccessiva nell'area di memorizzazione UEFI. Tuttavia nessuno conosce di preciso a quanto corrisponda questa «quantità eccessiva».

openSUSE minimizza il rischio non scrivendo alcun dato oltre al minimo richiesto per avviare il sistema operativo. Il minimo significa dire al firmware UEFI la locazione del boot loader di openSUSE. Le funzionalità del kernel Linux upstream che usano l'area di memorizzazione UEFI per memorizzare le informazioni di avvio e crash (pstore) sono state disabilitate in modo predefinito. Comunque sia si raccomanda di installare qualsiasi aggiornamento firmware raccomandato dal fornitore dell'hardware.

1.5 UEFI, GPT e partizioni MS-DOS

Assieme alla specifica EFI/UEFI è arrivato un nuovo stile di partizionamento: GPT (Tabella delle Partizioni GUID). Questo nuovo schema usa identificatori univoci globali (valori a 128 bit rappresentati con 32 caratteri esadecimali) per identificare dispositivi e tipi di partizione.

La specifica UEFI permette inoltre le partizioni obsolete MBR (MS-DOS). I boot loader Linux (ELILO o GRUB2) cercano di generare automaticamente un GUID per tali partizioni obsolete e di scriverlo nel firmware. Tale GUID può cambiare frequentemente causando la riscrittura nel firmware. Una riscrittura è composta da due operazioni diverse: rimozione della vecchia voce e creazione di una nuova voce che sostituisce la prima.

Il firmware moderno possiede un garbage collector che raccoglie le voci cancellate e libera la memoria riservata per le vecchie voci. Un problema sorge quando un firmware difettoso non raccoglie e libera tali voci: ne potrebbe derivare un sistema non avviabile.

Per aggirare tale problema, convertire le partizioni MBR obsolete nelle nuove GPT.

1.6 Adattamento dell'interfaccia dell'installatore su computer con schermi ad alta risoluzione

L'installatore YaST non adatta di per sé la propria interfaccia agli schermi ad alta risoluzione. Se si possiede un computer con schermo ad alta risoluzione, si può impostare YaST per adattare automaticamente la propria interfaccia allo schermo. Per fare ciò, aggiungere il parametro QT_AUTO_SCREEN_SCALE_FACTOR=1 alla riga di comando del boot loader.

2 Aggiornamento del sistema

Questa sezione contiene le note relative all'aggiornamento del sistema. Per avere istruzioni dettagliate sull'aggiornamento, fare riferimento alla documentazione in https://doc.opensuse.org/documentation/leap/startup/html/book.opensuse.startup/cha.update.osuse.html.

Si raccomanda di verificare Sezione 4, «Driver e hardware».

Si verifichi inoltre Sezione 3, «Modifiche relative ai pacchetti».

2.1 Aggiornamento da openSUSE Leap 42.3

2.1.1 Downgrade dei pacchetti durante l'aggiornamento del sistema

The RPM package information of packages shipped in openSUSE Leap 15.0 contain an added openSUSE Leap version string. For this reason, packages that contain the same upstream version of software as shipped in openSUSE Leap 42.3 will be displayed as downgrades, even though they actually contain the same software but compiled for a newer operating system.

2.1.2 cryptconfig è stato rimosso

Versioni precedenti di openSUSE Leap supportavano la cifratura individuale delle directory personali degli utenti attraverso cryptconfig. Questa funzionalità e il pacchetto cryptconfig non sono più disponibili in openSUSE Leap 15.0.

Per cifrare i dati utente su openSUSE Leap 15.0, cifrare l'intera partizione o il volume che contiene le directory personali.

Suggerimento
Suggerimento: Decrittare prima dell'aggiornamento di sistema

We encourage you to decrypt encrypted home directories before performing an upgrade from openSUSE Leap 42.3. While under openSUSE Leap 15.0, existing encrypted home directories can still be used (the underlying technology, pam_mount, is still available), there may not be an easy upgrade path in the future.

Inoltre, non c'è nemmeno modo di cifrare singolarmente le directory home degli utenti aggiunti dopo l'aggiornamento a openSUSE Leap 15.0.

2.1.3 Postfix Admin Uses Backwards-Incompatible Directory Layout

Starting with the version 3.2, as shipped in openSUSE Leap 15.0, Postfix Admin (package postfixadmin) uses a new and backwards-incompatible directory layout:

  • I file di configurazione sono stati spostati in /etc/postfixadmin.

  • Il codice PHP è stato spostato in /usr/share/postfixadmin.

  • La cache Smarty è stata spostata in /var/cache/postfixadmin.

Postfix Admin no longer reads configuration files from their previous locations and the configuration is not migrated automatically. Therefore, you need to migrate the following items manually:

  • Spostare config.local.php da /srv/www/htdocs/postfixadmin a /etc/postfixadmin.

  • Se sono state fatte delle personalizzazioni in config.inc.php, idealmente procedere riportando tali personalizzazioni in /etc/postfixadmin/config.local.php. Si raccomanda di mantenere config.inc.php immodificato.

  • Nella configurazione di Apache, aggiungere o abilitare l'alias /postfixadmin:

    • Per rendere l'alias disponibile su tutti gli host virtuali, eseguire:

      tux@linux > sudo a2enflag POSTFIXADMIN && rcapache2 restart
    • Per rendere l'alias disponibile su un host virtuale specifico soltanto, aggiungere l'alias alla configurazione di quell'host virtuale.

2.1.4 L'avanzamento di versione offline fallisce quando i dischi cifrati sono mappati per nome

Usando la funzionalità di aggiornamento offline da supporto di installazione su un computer con una partizione dati cifrata, come /home, l'installatore YaST può andare in crash nel momento in cui si seleziona l'installazione precedente.

Ciò succede quando la partizione con dati cifrati è elencata in /etc/fstab per nome del mappatore del dispositivo, come ad esempio /dev/mapper/cr_home. Nell'ambiente di installazione, YaST non riesce ad associare a quel percorso un volume rilevato automaticamente.

Al fine di utilizzare la funzionalità di aggiornamento offline, prima di avviare l'aggiornamento, modificare /etc/fstab per usare gli UUID di dispositivo invece dei nomi di dispositivo. Per determinare gli UUID di dispositivo corretti, eseguire il comando seguente:

tux@linux > blkid | grep "NOME_DEVICE_MAPPER"

L'esito di questo comando conterrà un UUID tra virgolette dopo la stringa UUID=.

2.1.5 GPG ha un nuovo formato del database delle chiavi

openSUSE Leap 42.3 shipped with GPG 2.0, while openSUSE Leap 15.0 includes GPG 2.2. In between these GPG versions, a new key database format was introduced. GPG 2.2 will automatically upgrade your key ring to the new format. However, the upgraded key ring cannot be used by older versions of GPG anymore.

Se fosse necessario mantenere la disponibilità del vecchio database delle chiavi, fare il backup della directory ~/.gnupg prima di avviare l'aggiornamento a openSUSE Leap 15.0.

2.1.6 ntpd è stato rimpiazzato da Chrony

Il demone di sincronizzazione dei server del tempo ntpd è stato rimpiazzato dal demone Chrony, più moderno.

Questa modifica comporta che i file AutoYaST con una sezione ntp_client debbano essere aggiornati al nuovo formato per tale sezione. Per maggiori informazioni sul nuovo formato ntp_client di AutoYaST, si veda https://doc.opensuse.org/projects/autoyast/#Configuration.Network.Ntp.

To synchronize time in intervals, YaST sets up a cron configuration file. From openSUSE Leap 15.0 on, the configuration file used for this is owned by the package yast2-ntp-client (previously no package owned it). The configuration file has been renamed from novell.ntp-synchronization to suse-ntp_synchronization to be consistent with other cron configuration files. The upgrade from previous versions of openSUSE Leap is performed automatically: If a file with the old name is found, it will be renamed and references to ntpd in it will be replaced by chrony references.

3 Modifiche relative ai pacchetti

3.1 Pacchetti deprecati

Pacchetti deprecati fanno tuttora parte della distribuzione ma la loro rimozione è in programma per la prossima versione di openSUSE Leap. Tali pacchetti sono inclusi per agevolare la migrazione ma il loro uso è sconsigliato e potrebbero non ricevere aggiornamenti.

Per controllare se i pacchetti installati non siano più sottoposti a manutenzione: assicurarsi che lifecycle-data-openSUSE sia installato e quindi usare il comando:

tux@linux > zypper lifecycle

3.2 Pacchetti rimossi

I pacchetti rimossi non sono più forniti come parte della distribuzione.

4 Driver e hardware

4.1 Blocco su macchine con GPU Nvidia e schede grafiche ibride

Con il kernel fornito in openSUSE Leap 15.0 GM, il driver Nouveau per le schede grafiche Nvidia può restare bloccato al riavvio, allo spegnimento o durante operazioni di gestione energetica al tempo di esucuzione. Questa anomalia si verifica principalmente su sistemi con schede grafiche ibride, come i portatili che includono una scheda Intel integrata ed una scheda Nvidia separata.

L'anomalia sarà corretta in un aggiornamento di manutenzione per il kernel. Tuttavia, poiché l'immagine di installazione non riceve aggiormanenti, questo problema può verificarsi durante l'installazione o al primo riavvio anche dopo che l'aggiornamento è stato fornito. In tal caso, come espediente temporaneo, rivviare con l'opzione nouveau.modeset=1. Una volta installato il kernel aggiornato con la correzione, sarà possibile rimuovere quest'opzione.

4.2 KDE su Wayland non è supportato con i driver Nvidia proprietari

La sessione Wayland di KDE Plasma non è compatibile con i driver Nvidia proprietari. Se si utilizza KDE con tali driver, si consiglia di continuare a usare la sessione X.

5 Desktop

Questa sezione elenca i problemi e le modifiche relativi al desktop in openSUSE Leap 15.0.

5.1 Nessuna combinazione predefinita per il tasto Compose

Nelle versioni precedenti di openSUSE, la combinazione per il tasto Compose consentiva la digitazione di caratteri non presenti sulla tastiera. Per esempio, per produrre «å», era possibile premere e rilasciare ShiftCtrl destro e successivamente premere due volte a.

In openSUSE Leap 15.0, non esiste più una combinazione predefinita per il tasto Compose perché ShiftCtrl destro non funziona più come previsto.

  • Per definire una combinazione per il tasto Compose valida a livello di sistema, usare il file /etc/X11/Xmodmap e cercare le righe seguenti:

    [...]
    !! Third example: Change right Control key to Compose key.
    !! To do Compose Character, press this key and afterwards two
    !! characters (e.g. `a' and `^' to get 342).
    !remove  Control  = Control_R
    !keysym Control_R = Multi_key
    !add     Control  = Control_R
    [...]

    Per decommentare il codice d'esempio, rimuovere i ! a inizio riga. Tuttavia, si noti che la configurazione tramite Xmodmap sarà sovrascritta se si utilizza setxkbmap.

  • Per definire una combinazione utente-specifica per il tasto Compose, utilizzare lo strumento di configurazione della tastiera del proprio ambiente desktop oppure lo strumento da riga di comando setxkbmap:

    tux@linux > setxkbmap [...] -option compose:TASTO_COMPOSE

    Per la variabile TASTO_COMPOSE, usare il carattere di propria preferenza, per esempio ralt, lwin, rwin, menu, rctl o caps.

  • In alternativa, utilizzare un metodo di inserimento IBus che consente la digitazione dei caratteri di cui si ha bisogno senza un tasto Compose.

5.2 Use update-alternatives to Set Display Manager and Desktop Session

In the past, you could use /etc/sysconfig or the YaST module /etc/sysconfig Editor to define the display manager (also called the login manager) and desktop session. Starting with openSUSE Leap 15.0, the values are not defined using /etc/sysconfig anymore but with the alternatives system.

Per cambiare i predefiniti, usare le seguenti alternative:

  • Display manager: default-displaymanager

  • Sessione Wayland: default-waylandsession.desktop

  • Sessione desktop X: default-xsession.desktop

Per esempio, per controllare il valore di default-displaymanager, usare:

tux@linux > sudo update-alternatives --display default-displaymanager

Per impostare default-displaymanager a xdm, usare:

tux@linux > sudo update-alternatives --set default-displaymanager \
  /usr/lib/X11/displaymanagers/xdm

Per abilitare la gestione grafica delle alternative, usare il modulo YaST Alternative che può essere installato tramite il pacchetto yast2-alternatives.

5.3 Impossibilità di bloccare lo schermo usando GNOME Shell ma non GDM

Usando GNOME Shell in combinazione con un gestore degli accessi diverso da GDM, come SDDM o LightDM, lo schermo non si annerirà né si bloccherà. Inoltre, passare ad altro utente senza terminare la sessione non sarà possibile.

Per essere in grado di bloccare lo schermo da GNOME Shell, deve essere abilitato GDM come gestore degli accessi:

  1. Assicurarsi che il pacchetto gdm sia installato.

  2. Impostazione di GDM come gestore delle sessioni:

    tux@linux > sudo update-alternatives --set default-displaymanager \
      /usr/lib/X11/displaymanagers/gdm
  3. Eseguire il riavvio.

5.4 Adattamento dell'interfaccia di SDDM su computer con schermi ad alta risoluzione

Il gestore degli accessi predefinito per KDE, SDDM, non adatta di per sé la propria interfaccia agli schermi ad alta risoluzione. Se si possiede un computer con schermo ad alta risoluzione, si può impostare SDDM per adattare automaticamente la propria interfaccia allo schermo usando il file di configurazione /etc/sddm.conf:

[X11]
EnableHiDPI=true
ServerArguments=-nolisten tcp -dpi VALORE_DPI

Replace DPI_VALUE with an appropriate DPI value, such as 192. For best scaling results, use a DPI value that is a multiple of the default 96 DPI.

5.5 Adattamento dell'interfaccia di YaST su computer con schermi ad alta risoluzione

YaST non adatta di per sé la propria interfaccia agli schermi ad alta risoluzione. Se si possiede un computer con schermo ad alta risoluzione, si può impostare YaST per adattare automaticamente la propria interfaccia allo schermo. Per fare ciò, impostare la variabile d'ambiente QT_AUTO_SCREEN_SCALE_FACTOR=1.

5.6 Utilizzo dell'adattamento automatico allo schermo in applicazioni Qt su configurazioni che mescolano monitor ad alta risoluzione con monitor a risoluzione standard

Qt supporta l'adattamento automatico per monitor su X. Usa il valore di DPI dello schermo virtuale X per calcolare la dimensione dei caratteri per il monitor principale. 96 DPI è il valore predefinito. Usa poi i DPI relativi del monitor principale per derivare i DPI dei caratteri di tutti gli altri monitor.

Due dei desktop più utilizzati bypassano questo comportamento di Qt, pertanto questa nota non si applica ad essi:

  • GNOME will set Xft.dpi to the configured multiple of 96 DPI.

  • KDE Plasma disabilita l'adattamento automatico di Qt e usa una configurazione di adattamento manuale.

On other desktops, this behavior of Qt can lead to undesirable situations such as the following: If the primary display is High-DPI (>= 144 DPI), fonts in Qt applications that request scaling, such as VLC, are effectively scaled to half the desired size on all monitors. Applications which do not request scaling, such as YaST (with default settings), use the same DPI value on all monitors. Hence, they will look smaller on the High-DPI monitor.

È possibile usare uno dei seguenti stratagemmi per questo problema:

  • Usare un monitor con un normale valore di DPI come monitor principale. Le applicazioni che richiedono adattamento sono poi scalate in maniera appropriata sul monitor ad alta risoluzione.

  • Impostare un valore di DPI per i caratteri (Xft.dpi). È possibile farlo anche con l'utilità di configurazione del desktop. In alternativa, dopo ogni accesso eseguire il seguente comando:

    tux@linux > echo Xft.dpi:VALORE_DPI | xrdb -nocpp -merge

    Sostituire VALORE_DPI con un valore appropriato di DPI per il monitor principale.

5.7 La condivisione dello schermo non funziona in Firefox o Chromium su Wayland

Firefox e Chromium normalmente consentono a strumenti basati sul Web, come applicazioni di videoconferenza, di condividere lo schermo intero o finestre di singole applicazioni. Questa funzionalità è attualmente non supportata in nessuno dei due browser quando si utilizza una sessione Wayland.

Per essere in grado di condividere lo schermo in Firefox e Chromium, usare una sessione X.

5.8 Riproduzione di file multimediali MP3

I codec per riprodurre i file MP3 sono inclusi all'interno del repository standard.

Per usare questo decodificatore nelle applicazioni e infrastrutture basate su gstreamer, come Rhythmbox o Totem, installare il pacchetto gstreamer-plugins-ugly.

5.9 Nessun supporto per i tipi di carattere Type-1 in LibreOffice

LibreOffice 5.3 e successivi non supportano più i tipi di carattere obsoleti Type-1 (estensioni di file .afm e .pfb). La maggior parte degli utilizzatori non dovrebbe essere affetta da ciò, poiché gli attuali tipi di carattere sono o nel formato TrueType (.ttf) o nel formato OpenType (.otf).

Qualora si fosse affetti dal problema, convertire i tipi di carattere Type-1 ad un formato supportato come il TrueType e utilizzare i tipi convertiti. La conversione è possibile con l'applicazione FontForge (pacchetto fontforge), inclusa in openSUSE. Per informazioni su come creare script di conversione, si veda https://fontforge.github.io/en-US/documentation/scripting/.

5.10 Modiche alla resa dei tipi di carattere FreeType

FreeType 2.6.4 ha un nuovo interprete predefinito di hinting dei glifi (versione 38) che corrisponde maggiormente a quello di altri sistemi operativi ma che potrebbe apparire «più confuso» ad alcuni. Per ripristinare il precedente comportamento di FreeType, impostare la seguente variabile d'ambiente (a livello di sistema, utente-specifica o programma-specifica) di propria scelta:

FREETYPE_PROPERTIES="truetype:interpreter-version=35"

5.11 Abilitazione dell'integrazione dei browser con KDE Plasma

In Plasma l'integrazione del browser per Firefox e Chromium/Chrome consente il monitoraggio di file multimediali e file scaricati usando strumenti di sistema di KDE e fornisce accesso immediato alle schede attraverso la barra Esegui comando del desktop KDE Plasma.

La funzionalità di integrazione del browser consiste di due componenti che devono lavorare insieme:

Si noti che questa funzionalità è ufficialmente ancora in sviluppo e openSUSE Leap 15.0 ne fornisce una versione iniziale.

5.12 Caricamento del modulo Emacs psgml

A causa di conflitti con i moduli Emacs dell'installazione predefinita, openSUSE Leap 15.0 non può più caricare automaticamente il modulo psgml. Per maggiori informazioni, si faccia riferimento al file README del pacchetto psgml.

6 Sicurezza

Questa sezione elenca le modifiche relative alle funzionalità di sicurezza di openSUSE Leap 15.0.

6.1 GPG non supporta più le chiavi GPG V3 con conseguenti avvisi da parte di Zypper/rpm

openSUSE Leap 42.3 shipped with GPG 2.0, while openSUSE Leap 15.0 includes GPG 2.2. In between these GPG versions, support for GPG V3 keys was removed. If your system's key database still contains GPG V3 keys, you may receive warnings about this when executing Zypper or rpm commands, as these commands are checking the integrity of the package database. These warnings take the form warning: Unsupported version of key: V3.

Solitamente questi avvisi sono benigni, poiché queste chiavi potrebbero essere state usate per repository non più abilitati nel sistema oppure repository le cui chiavi sono state in seguito aggiornate. Tuttavia, qualora queste chiavi risultassero ancora in uso da parte di un repository, dovrebbero essere sostituite il prima possibile:

  • Gli strumenti di gestione dei pacchetti in openSUSE Leap 15.0 non possono più utilizzarle per verificare l'integrità dei pacchetti.

  • Sono le chiavi stesse ad essere insicure. Pertanto, anche se gli strumenti di gestione dei pacchetti più vecchi le usassero per verificare l'integrità dei pacchetti, sarebbe opportuno non riporre fiducia nei risultati di tali verifiche.

Per eliminare tali chiavi, seguire questa procedura:

  1. Eseguire un comando rpm con verbosità elevate a controllarne l'esito:

    tux@linux > rpm -vv -qf /etc
    ufdio: 1 reads, 18883 total bytes in 0.000006 secs
    [...]
    D: read h# 168 Header sanity check: OK
    warning: Unsupported version of key: V3
    [...]

    Nell'esempio, l'header 168 è associato con una chiave obsoleta—l'avviso appare immediatamente dopo il messaggio che quello specifico header è in procinto di essere verificato.

  2. Scoprire il numero di chiave associato con l'header:

    tux@linux > rpm -q --querybynumber HEADER

    Sostituire HEADER con il numero dell'header richiesto. Nell'esempio, quest'ultimo sarebbe 168.

    Questo comando restituisce un identificativo di chiave che inizia con gpg-pubkey-.

  3. (Opzionale) Usare l'identificativo di chiave (ID_CHIAVE) per sapere di più sulla chiave:

    tux@linux > rpm -qi ID_CHIAVE
  4. Rimuovere la chiave dal sistema:

    tux@linux > sudo rpm -e ID_CHIAVE
  5. Qualora gli avvisi persistessero ai successivi utilizzi degli strumenti di gestione dei pacchetti, ripetere la procedura.

6.2 systemctl stop apparmor non funziona più

Nel passato, poteva essere fatta confusione sui diversi effetti che i sottocomandi reload e restart di systemctl hanno su AppArmor:

  • systemctl reload apparmor ricaricava correttamente tutti i profili AppArmor. (Era e continua ad essere la modalità raccomandata di ricaricare i profili AppArmor.)

  • systemctl restart apparmor implicava invece che AppArmor si sarebbe arrestato, cancellando dalla memoria tutti i profili, e poi si sarebbe riavviato, il che lasciava tutti i processi non confinati. Solo i processi avviati da lì in avanti sarebbero stati confinati di nuovo.

Sfortunatamente, systemd, nell'ambito del proprio formato di file di unità, non fornisce una soluzione al problema posto dallo scenario restart.

A partire da AppArmor 2.12, il comando systemctl stop apparmor non funziona più. Di conseguenza, ora systemctl restart apparmor ricarica correttamente i profili AppArmor.

Per cancellare dalla memoria tutti i profili AppArmor, usare invece il nuovo comando aa-teardown, che si comporta come un tempo faceva systemctl stop apparmor.

Per i dettagli, fare riferimento a https://bugzilla.opensuse.org/show_bug.cgi?id=996520 e https://bugzilla.opensuse.org/show_bug.cgi?id=853019.

7 Informazioni tecniche

7.1 Struttura aggiornata dei sottovolumi Btrfs

openSUSE Leap 15.0 introduce una nuova struttura predefinita di sottovolumi Btrfs che mira a:

  • Istantanee e ripristino semplificati

  • Prevenzione della perdita accidentale dei dati

  • Migliori prestazioni per i database e le immagini di macchine virtuali conservati in /var

Invece di usare sottovolumi Btrfs multipli per le diverse sottodirectory di /var, openSUSE Leap 15.0 prevede un singolo sottovolume per l'intera /var. Questo nuovo sottovolume ha la funzionalità di copia su scrittura (copy-on-write) disabilitata.

Non c'è maniera di effettuare un aggiornamento a questa nuova struttura di sottovolumi Btrfs. Pertanto, per avvantaggiarsene, è necessario installare da zero openSUSE Leap 15.0 invece di aggiornare da una versione precedente.

Per ulteriori informazioni sulla struttura predefinita dei sottovolumi Btrfs prima e dopo questa modifica, si veda https://en.opensuse.org/SDB:BTRFS.

7.2 Wicked: Using RFC 4361 DHCPv4 client-id on Ethernet

L'RFC 4361 aggiorna il client-id definito nell'RFC 2132, sezione 9.14 per essere compatibile con il client-id di DHCP 6 (duid). L'uso dell'RFC 4361 è obbligatorio su Infiniband (RFC 4390) ed è anche necessario per effettuare l'aggiornamento dei record DNS all'interno della stessa zona anche su Ethernet per indirizzi DHCP 4 e DHCP 6.

In openSUSE Leap 15.0:

  • Il server DHCP 4.3.x ISC suppota la nuova RFC 4361 (richiesta per l'aggiornamento dei DNS)

  • Wicked fornisce un'opzione per inviare tale client-id e utilizzare automaticamente un client-id basato su DHCPv6 su DHCPv4 (usato su Infiniband).

Per inviare il client-id durante l'installazione, usare linuxrc (si veda anche https://en.opensuse.org/SDB:Linuxrc) con il seguente ifcfg:

ifcfg=eth0=dhcp,DHCLIENT_CLIENT_ID=01:03:52:54:00:02:c2:67,DHCLIENT6_CLIENT_ID=00:03:52:54:00:02:c2:67

Per maggiori informazioni, consultare la documentazione per le opzioni dhcp4 "create-cid", dhcp6 "default-duid" in man 5 wicked-config, wicked duid --help e wicked iaid --help.

Su ethernet il client-id DHCPv4 di RFC 2132, tradizionalmente usato, è costruito a partire dal tipo di hardware (01 per ethernet) e seguito dall'indirizzo hardware (l'indirizzo MAC), per esempio:

01:52:54:00:02:c2:67

Il client-id di RFC 4361 comincia con 0xff (invece del tipo di hardware), seguito dall'IAID DHCPv6 (l'ID di associazione all'indirizzo di interfaccia, che descrive l'interfaccia sulla macchina), seguito dal DUID DHCPv6 (client-id, che identifica la macchina).

Usando il DUID sopra basato sull'indirizzo hardware e sul tipo di hardware (tipo LLT usato come predefinito), il nuovo client-id DHCPv4 di RFC 4361 sarebbe:

  • Usando gli ultimi byte dell'indirizzo MAC come IAD: ff:00:02:c2:67:00:01:xx:xx:xx:xx:52:54:00:02:c2:67

  • Quando lo IAID è un semplice numero incrementato: ff:00:00:00:01:00:01:xx:xx:xx:xx:52:54:00:02:c2:67

La parte xx:xx:xx:xx nel DUID-LLT è la marca temporale di creazione. Un DUID-LL (00:03:00:01:MAC) non ha una marca temporale.

8 Maggiori informazioni e feedback

  • Si invita a leggere i documenti README presenti sul supporto di installazione.

  • Per ottenere informazioni dettagliate sulle modifiche relative ad un particolare pacchetto dal suo RPM:

    tux@linux > rpm --changelog -qp NOME_FILE.rpm

    Sostituire NOME_FILE con il nome dell'RPM.

  • Si controlli il file ChangeLog presente nella directory principale del supporto per un log cronologico di tutte le modifiche fatte ai pacchetti aggiornati.

  • Maggiori informazioni sono disponibili nella directory docu del supporto.

  • Per documentazione aggiuntiva o aggiornata, si veda https://doc.opensuse.org/.

  • Per le ultime novità sui prodotti di openSUSE, si veda https://www.opensuse.org.

Copyright © SUSE LLC

Stampa pagina