5. Problemas a tener en cuenta para trixie
Algunas veces los cambios tienen efectos colaterales que no podemos evitar, o aparecen fallos en otro lugar. A continuación se documentan los problemas que conocemos. Puede leer también la fe de erratas, la documentación de los paquetes relevantes, los informes de fallos y otra información mencionada en Para leer más.
5.1. Cosas a tener en cuenta durante la actualización a trixie
Esta sección cubre los elementos relacionados con la actualización de bookworm a trixie.
5.1.1. Actualizaciones remotas interrumpidas
Un problema con OpenSSH en Bookworm puede conllevar a sistemas remotos inaccesibles si se interrumpe una actualización supervisada a través de una conexión SSH. Los usuarios pueden no lograr volver a conectarse al sistema remoto para reanudar la actualización.
Los paquetes actualizados para Bookworm resolverán este problema en Debian 12.12, pero esta versión todavía estaba en preparación en el momento de publicar Trixie. En su lugar, los usuarios que planean actualizar sistemas remotos a través de una conexión SSH deben actualizar primero OpenSSH a la versión 1:9.2p1-2+deb12u7 o superior a través del mecanismo stable-updates.
5.1.2. Reducción de uso de i386
A partir de Trixie, i386 dejó de ser una arquitectura normal: no hay un núcleo oficial ni un instalador de Debian para sistemas i386. Hay menos paquetes disponibles para i386 porque muchos proyectos ya no la incluyen. El único propósito restante de esta arquitectura es habilitar la ejecución de código heredado, por ejemplo, mediante multiarch o un chroot en un sistema de 64 bits (amd64).
La arquitectura i386 ahora solo se utiliza en CPUs de 64 bits (amd64). Su conjunto de instrucciones requiere el uso de SSE2, por lo que no funcionará con la mayoría de los tipos de CPU de 32 bits para las que Debian 12 se ofrecía.
Los usuarios que ejecuten sistemas i386 no deberían actualizar a Trixie. En su lugar, Debian recomienda reinstalarlos como amd64, donde sea posible, o retirar el hardware. El Cross-grading sin reinstalar es una alternativa técnicamente posible, pero arriesgada.
5.1.3. Última actualización para armel
Desde Trixie, armel deja de considerarse como una arquitectura normal: no hay instalador de Debian para sistemas armel, y solo Raspberry Pi 1, Zero, y Zero W tienen compatibilidad con los paquetes del núcleo.
Los usuarios que cuentan con sistemas armel pueden actualizar a Trixie, siempre y cuando su hardware sea compatible con los paquetes del núcleo o usen un núcleo de terceros.
Trixie será la última actualización para la arquitectura armel. Debian recomienda, cuando sea posible, reinstalar los sistemas armel como armhf o arm64, o dar de baja el dispositivo.
5.1.4. Arquitecturas MIPS eliminadas
A partir de Trixie, las arquitecturas mipsel y mips64el ya no están disponibles en Debian. Recomendamos a los usuarios de estas arquitecturas mudarse a dispositivos distintos.
5.1.5. Garantice que /boot tenga suficiente espacio libre
El núcleo Linux y los paquetes de firmware han aumentado considerablemente en tamaño en versiones anteriores de Debian y en trixie. Por lo tanto, su partición /boot podría ser demasiado pequeña, causando que la actualización falle. Si su sistema fue instalado con Debian 10 (Buster) o uno anterior, es muy probable que su sistema se vea afectado.
Antes de iniciar la actualización, asegúrese de que su partición /boot tenga al menos 768 MB de tamaño y cuente con alrededor de 300 MB libres. Si su sistema no tiene una partición /boot separada, no debería hacer nada.
Si /boot está en LVM y es demasiado pequeña, puede usar lvextend para aumentar el tamaño de una partición LVM. Si /boot es una partición separada, es probable que sea más fácil reinstalar el sistema.
5.1.6. Los ficheros temporales en /tmp ahora se almacenan en un tmpfs
De Trixie en adelante, de forma predeterminada el directorio /tmp/ se almacena en memoria usando un sistema de ficheros tmpfs(5). Esto debería hacer que las aplicaciones que usan ficheros temporales sean más rápidas, pero si pone archivos grandes allí, puede que se agote la memoria.
Para los sistemas actualizados desde Bookworm, el nuevo comportamiento solo comienza después de reiniciar. Los archivos que quedan en /tmp se ocultarán después de que se monte el nuevo tmpfs que mostrará advertencias en el registro del sistema (system journal) o en syslog. Se puede acceder a tales archivos usando un montaje enlazado (bind-mount) (consulte mount(1)): al correr mount --bind / /mnt el directorio subyacente podrá accederse en /mnt/tmp (ejecute umount /mnt una vez haya limpiado los archivos antiguos).
De forma predeterminada se asigna hasta el 50% de la memoria a /tmp (esto es un máximo: la memoria solo se usa cuando los archivos se crean en /tmp). Puede cambiar el tamaño ejecutando systemctl edit tmp.mount como root y configurando, por ejemplo:
[Mount]
Options=mode=1777,nosuid,nodev,size=2G
(más información en systemd.mount(5)).
Puede volver a hacer que /tmp sea un directorio normal ejecutando systemctl mask tmp.mount como root y reiniciando.
La nueva forma predeterminada del sistema de archivos puede anularse en /etc/fstab, de tal manera que los sistemas que ya definen una partición /tmp separada no se afecten.
5.1.7. openssh-server ya no lee ~/.pam_environment
El daemon de Secure Shell (SSH) proporcionado en el paquete openssh-server, que permite inicios de sesión desde sistemas remotos, ya no lee el archivo ~/.pam_environment del usuario por defecto; esta característica tiene un historial de problemas de seguridad y ha sido obsoleta en las versiones actuales de la biblioteca Pluggable Authentication Modules (PAM). Si usaba esta característica, debería cambiar de establecer variables en ~/.pam_environment a establecerlas en sus archivos de inicialización del shell (p. ej. ~/.bash_profile o ~/.bashrc) o algún otro mecanismo similar en su lugar.
Las conexiones SSH existentes no se verán afectadas, pero las nuevas conexiones pueden comportarse de manera diferente después de la actualización. Si está actualizando remotamente, normalmente es una buena idea asegurarse de que tiene alguna otra forma de iniciar sesión en el sistema antes de iniciar la actualización; vea Prepararse para la recuperación.
5.1.8. OpenSSH deja de lado las claves DSA
Las claves del Algoritmo de Firma Digital (DSA), como se especifica en el protocolo de Secure Shell (SSH), son inherentemente débiles: están limitadas a claves privadas de 160 bits y el resumen SHA-1. La implementación SSH proporcionada por los paquetes openssh-client y openssh-server ha deshabilitado el soporte para claves DSA por defecto desde OpenSSH 7.0p1 en 2015, liberado con Debian 9 («stretch»), aunque aún podía habilitarse usando las opciones de configuración HostKeyAlgorithms y PubkeyAcceptedAlgorithms para claves de host y de usuario respectivamente.
Los únicos usos restantes de DSA en este punto deberían ser conectarse a algunos dispositivos muy antiguos. Para todos los demás propósitos, los otros tipos de claves validados por OpenSSH (RSA, ECDSA y Ed25519) son mejores.
A partir de OpenSSH 9.8p1 en Trixie, las claves DSA ya no están habilitadas, ni siquiera con las opciones de configuración mencionadas anteriormente. Si tiene un dispositivo al que solo puede conectarse usando DSA, entonces puede usar el comando ssh1 proporcionado por el paquete openssh-client-ssh1 para hacerlo.
En el caso improbable de que aún esté usando claves DSA para conectarse a un servidor Debian (si no está seguro, puede verificarlo agregando la opción -v a la línea de comandos ssh que usa para conectarse a ese servidor y buscar la línea «Server accepts key:»), entonces debe generar claves de reemplazo antes de actualizar. Por ejemplo, para generar una nueva clave Ed25519 y habilitar inicios de sesión a un servidor usándola, ejecute esto en el cliente, reemplazando username@server con los nombres de usuario y host apropiados:
$ ssh-keygen -t ed25519
$ ssh-copy-id username@server
5.1.9. Las órdenes last, lastb y lastlog han sido reemplazadas
Ahora el paquete util-linux no proporciona las órdenes last o lastb y el paquete login ya no ofrece lastlog. Estas órdenes proporcionan información sobre intentos de inicio de sesión anteriores usando /var/log/wtmp, /var/log/btmp, /var/run/utmp y /var/log/lastlog, pero estos ficheros no se usarán después de 2038 porque no reservan suficiente espacio para almacenar la hora de inicio de sesión (el problema de año 2038), y los desarrolladores originales no quieren cambiar los formatos de los archivos. La mayoría de los usuarios no necesitarán reemplazar estas órdenes con algo, pero el paquete util-linux proporciona una orden lslogins que puede informar cuándo se utilizaron las cuentas por última vez.
Hay dos posibles reemplazos directos disponibles: last puede ser reemplazado por wtmpdb del paquete wtmpdb (el paquete libpam-wtmpdb también debe instalarse) y lastlog puede reemplazarse por lastlog2 del paquete lastlog2 (libpam-lastlog2 también debe instalarse). Si quiere usarlos, tendrá que instalar los paquetes nuevos después de la actualización, consulte NEWS.Debian de util-linux para obtener más información. La orden lslogins --failed proporciona información similar a lastb.
Si no instala wtmpdb, recomendamos que elimine los ficheros antiguos de registro /var/log/wtmp*. Si instala wtmpdb, actualizará /var/log/wtmp y podrá leer los archivos wtmp antiguos con wtmpdb import -f <dest>. No hay ninguna herramienta para leer los archivos /var/log/lastlog* o /var/log/btmp*: se pueden eliminar después de la actualización.
5.1.10. Los sistemas de archivos cifrados necesitan el paquete systemd-cryptsetup
La detección y montaje automático de los sistemas de archivos cifrados se ha movido al nuevo systemd-cryptsetup. systemd recomienda este nuevo paquete, con lo cual, debería instalarse automáticamente en las actualizaciones.
Si usa sistemas de archivos cifrados, asegure que el paquete systemd-cryptsetup esté instalado antes de reiniciar el sistema.
5.1.11. Cambió la configuración predeterminada de cifrado para los dispositivos dm-crypt en modo plano
La configuración predeterminada para los dispositivos dm-crypt creados usando el cifrado en modo plano (plain) (consulte crypttab(5)) ha cambiado para mejorar la seguridad. Esto causará problemas si no grabó las opciones de configuración usadas en /etc/crypttab. La forma recomendada de configurar dispositivos en modo plano es grabar las opciones cipher, size y hash en /etc/crypttab; de lo contrario cryptsetup usará valores predeterminados, y dado que los valores predeterminados para el cifrado y el algoritmo de hash han cambiado en Trixie, provocará que los dispositivos aparezcan como datos aleatorios hasta que se configuren correctamente.
Esto no aplica para los dispositivos LUKS porque LUKS registra las opciones en el dispositivo en sí.
Para configurar correctamente sus dispositivos en modo plano, suponiendo que se crearon con las opciones predeterminadas de Bookworm, debería agregar cipher=aes-cbc-essiv:sha256,size=256,hash=ripemd160 a /etc/crypttab.
Para acceder a estos dispositivos con cryptsetup en la línea de órdenes, puede usar --cipher aes-cbc-essiv:sha256 --key-size 256 --hash ripemd160. Debian recomienda configurar los dispositivos permanentes con LUKS, o si usa el modo plano, que explícitamente grabe todas las opciones de cifrado requeridas en /etc/crypttab. Las nuevas opciones predeterminadas son cipher=aes-xts-plain64 y hash=sha256.
5.1.12. RabbitMQ ya no ofrece colas (queues) HA
A partir de trixie, rabbitmq-server dejó de ofrecer las colas de alta disponibilidad (HA). Para continuar con una configuración HA, estas colas necesitan migrarse a «quorum queues».
Si tiene un despliegue de OpenStack, por favor cambie las colas a quórum antes de actualizar. Tenga en cuenta también que comenzando con la versión «Caracal» de OpenStack en Trixie, OpenStack ofrece solo quórum queues.
5.1.13. RabbitMQ no puede actualizarse directamente desde Bookworm
No hay una ruta de actualización directa y fácil para RabbitMQ desde Bookworm a Trixie. Los detalles sobre este problema se pueden encontrar en el reporte de fallo 1100165.
La ruta de actualización recomendada es limpiar completamente la base de datos de rabbitmq y reiniciar el servicio (después de la actualización a Trixie). Esto puede hacerse eliminando /var/lib/rabbitmq/mnesia y todo su contenido.
5.1.14. Las actualizaciones de las versiones mayores de MariaDB solo funcionan de manera confiable después de un apagado limpio
MariaDB no ofrece recuperación de errores entre cambio de versiones mayores. Por ejemplo, si un servidor MariaDB 10.11 se apagó de forma abrupta debido a una interrupción de energía o a un defecto en el software, la base de datos necesita reiniciarse con los mismos binarios de MariaDB 10.11 para que pueda realizar una recuperación de errores exitosa y reconciliar los archivos de datos y los archivos de registro para dar continuidad (roll-forward) o revertir transacciones interrumpidas.
Si intenta realizar una recuperación de errores con MariaDB 11.8 usando el directorio de datos de una instancia de MariaDB 10.11 que se ha roto debido a un error, el servidor de MariaDB 11.8 se negará a iniciar.
Para asegurarse de que el servidor de MariaDB se apague limpiamente antes de ir a una actualización de versión mayor, detenga el servicio con
# service mariadb stop
y ahora revisando la existencia de Shutdown complete en los registros del servidor para confirmar que la limpieza de todos los datos y los buffers se completó correctamente.
Si no se ha apagado limpiamente, reiníciela para activar la recuperación de errores, espere, deténgala de nuevo y verifique que el segundo apagado fue limpio.
Puede encontrar información adicional sobre cómo realizar copias de seguridad y otra información relevante para administradores de sistemas en /usr/share/doc/mariadb-server/README.Debian.gz.
5.1.15. Reemplazo de /etc/sysctl.conf
systemd-sysctl de Debian 13 ya no lee /etc/sysctl.conf. El paquete linux-sysctl-defaults trae /usr/lib/sysctl.d/50-default.conf que reemplaza a /etc/sysctl.conf. Este paquete lo recomienda systemd, y se instalará de forma predeterminada en aquellos sistemas en los que la instalación de paquetes recomendados no se haya desactivado.
Compruebe si linux-sysctl-defaults está instalado en su sistema y si los contenidos de /usr/lib/sysctl.d/50-default.conf cumplen con sus expectativas. Considere colocar la configuración local en fragmentos de ficheros llamados /etc/sysctl.d/*.conf.
5.1.16. Ping ya no se ejecuta con privilegios elevados
La versión predeterminada de ping(ofrecida por iputils-ping) ya no se instala con acceso a la capacidad de linux CAP_NET_RAW, sino que usa sockets de datagramas ICMP_PROTO para la comunicación en red. El acceso a estos sockets se controla basándose en la membresía del usuario a grupos Unix usando el sysctl net.ipv4.ping_group_range. En instalaciones normales, el paquete linux-sysctl-defaults establecerá este valor a uno ampliamente permisivo, facilitando que usuarios sin privilegios puedan usar ping como se espera, pero algunos escenarios de actualización pueden no instalar automáticamente este paquete. Consulte /usr/lib/sysctl.d/50-default.conf y la documentación del núcleo para obtener más información sobre la semántica de esta variable.
5.1.17. Los nombres de las interfaces de red pueden cambiar
Recomendamos a los usuarios de sistemas con administración particular (out-of-band) proceder con precaución, ya que conocemos dos circunstancias en las que los nombres de las interfaces de red asignados por los sistemas de Trixie pueden ser diferentes de los que vienen de Bookworm. Esto puede provocar una conexión de red rota cuando se reinicia para completar la actualización.
Es difícil determinar si un sistema dado podría afectarse de antemano sin un análisis técnico detallado. A continuación mostramos configuraciones problemáticas conocidas:
Sistemas que usan el controlador NIC i40e de Linux, consulte el`reporte de fallo #1107187 <https://bugs.debian.org/1107187>`__.
Sistemas donde el firmware expone el objeto
_SUNde la tabla ACPI, previamente ignorado de forma predeterminada en Bookworm (systemd.net-naming-scheme v252), pero que ahora los usa systemd v257 en Trixie. Consulte el reporte de fallo #1092176.Puede usar la orden
$ udevadm test-builtin net_setup_linkpara ver si el cambio de systemd produciría un nombre diferente. Esto debe hacerse justo antes de reiniciar para completar la actualización. Por ejemplo:
# After apt full-upgrade, but before reboot
$ udevadm test-builtin net_setup_link /sys/class/net/enp1s0 2>/dev/null
ID_NET_DRIVER=igb
ID_NET_LINK_FILE=/usr/lib/systemd/network/99-default.link
ID_NET_NAME=ens1 #< Notice the final ID_NET_NAME name is not "enp1s0"!
Recomendamos a los usuarios que necesitan nombres estables durante la actualización crear archivos systemd.link para «fijar» el nombre antes de la actualización.
5.1.18. Cambios de configuración en Dovecot
El conjunto de aplicaciones del servidor de correo dovecot en Trixie usa un formato de configuración incompatible con versiones anteriores. Los detalles sobre los cambios de configuración están disponibles en docs.dovecot.org.
Para evitar un tiempo de caída potencialmente extendido, se recomienda aplicar su configuración en un entorno de prueba antes de comenzar la actualización de un sistema de correo en producción.
Por favor tenga en cuenta que algunas características fueron eliminadas en v2.4 por los desarrolladores originales. En particular, el replicator ha desaparecido. Si depende de esa característica, es aconsejable no actualizar a Trixie hasta que haya encontrado una alternativa.
5.1.19. Cambios significativos en el paquete de libvirt
El paquete libvirt-daemon, que proporciona una API y un conjunto de herramientas para administrar plataformas de virtualización, ha sido modernizado en Trixie. Cada controlador y almacenamiento de backend ahora viene en un paquete binario separado, lo que permite mayor flexibilidad.
Hemos sido cuidadosos durante las actualizaciones desde Bookworm para conservar el conjunto de componentes existentes, pero en algunos casos la funcionalidad puede perderse temporalmente. Recomendamos que revise cuidadosamente la lista de paquetes binarios instalados después de actualizar para asegurar que todos los paquetes esperados estén presentes; también es un muy buen momento para considerar desinstalar los componentes no deseados.
Adicionalmente, algunos ficheros de configuración pueden terminar marcados como «obsoletos» después de la actualización. El fichero /usr/share/doc/libvirt-common/NEWS.Debian.gz contiene información adicional sobre cómo verificar si su sistema está afectado por este problema y cómo abordarlo.
5.1.20. Samba: cambios en el empaquetamiento del controlador de dominio de directorio activo
La funcionalidad (AD-DC) del controlador de dominio de directorio activo se ha movido fuera de samba. Si está usando esta funcionalidad, debe instalar el paquete samba-ad-dc.
5.1.21. Samba: módulos VFS
El paquete samba-vfs-modules fue reorganizado. La mayoría de los módulos VFS se incluyen en el paquete samba. Sin embargo, los módulos para ceph y glusterfs han sido movidos a samba-vfs-ceph y samba-vfs-glusterfs.
5.1.22. Ahora OpenSSL proporciona el soporte TLS de OpenLDAP
Ahora OpenSSL, en lugar de GnuTLS, provee TLS en el cliente OpenLDAP libldap2 y el servidor slapd . Esto afecta a las opciones de configuración disponibles, así como el comportamiento de las mismas.
Puede encontrar los detalles de las opciones cambiadas en /usr/share/doc/libldap2/NEWS.Debian.gz.
Si no se especifican certificados CA TLS, la base de datos de confianza predeterminada del sistema se cargará automáticamente. Si no desea que se usen los CAs predeterminados, debe configurar explícitamente las CAs confiables.
Para obtener más información sobre la configuración del cliente LDAP, consulte la página del manual ldap.conf.5. Para el servidor LDAP (slapd), consulte /usr/share/doc/slapd/README.Debian.gz y la página del manual slapd-config.5.
5.1.23. bacula-director: la actualización del esquema de la base de datos necesita grandes cantidades de espacio en disco y tiempo
La base de datos Bacula tendrá un cambio de esquema substancial durante la actualización a trixie.
Actualizar la base de datos puede tardar varias horas o incluso días, dependiendo del tamaño de la base de datos y del rendimiento del servidor de base de datos.
La actualización temporalmente necesita alrededor del doble de espacio en disco actualmente usado en el servidor de base de datos, más espacio suficiente para almacenar una copia de seguridad del esquema de la base de datos Bacula en /var/cache/dbconfig-common/backups.
Quedarse sin espacio en disco durante la actualización podría corromper su base de datos e impedir que su instalación de Bacula funcione correctamente.
5.1.24. dpkg: advertencia: no se puede eliminar el directorio antiguo: …
Durante la actualización, dpkg imprimirá advertencias como las siguientes, para varios paquetes. Esto se debe a que el proyecto usrmerge ha finalizado, y las advertencias pueden ignorarse sin riesgo.
Unpacking firmware-misc-nonfree (20230625-1) over (20230515-3) ...
dpkg: warning: unable to delete old directory '/lib/firmware/wfx': Directory not empty
dpkg: warning: unable to delete old directory '/lib/firmware/ueagle-atm': Directory not empty
5.1.25. No se admite omitir actualizaciones
Como con cualquier otra versión de Debian, las actualizaciones deben realizarse desde la versión anterior. También deben instalarse todas las actualizaciones de versiones menores regulares. Consulte Comenzar de un Debian «puro».
Ya no es posible omitir versiones explícitamente al hacer una actualización.
Para trixie, la finalización del proyecto usrmerge requiere que se complete la actualización a bookworm antes de iniciar la actualización a trixie.
5.1.26. WirePlumber tiene un nuevo sistema de configuración
WirePlumber tiene un nuevo sistema de configuración. Para la configuración predeterminada no tiene que hacer nada; para configuraciones personalizadas consulte /usr/share/doc/wireplumber/NEWS.Debian.gz.
5.1.27. Migración strongSwan a un nuevo servicio charon
El paquete strongSwan IKE/IPsec está migrando del servicio charon-daemon (usando la orden ipsec(8) y configurado en /etc/ipsec.conf) a charon-systemd (administrado con las herramientas swanctl(8) y configurado en /etc/swanctl/conf.d). La versión de Trixie del paquete meta strongswan incorporará las nuevas dependencias, pero las instalaciones existentes no se verán afectadas mientras que charon-daemon se mantenga instalado. Aconsejamos a los usuarios migrar su instalación al nuevo esquema siguiendo la página de migración de los desarrolladores.
5.1.28. Hace falta propiedades udev de sg3-utils
Debido al fallo 1109923 in sg3-utils los dispositivos SCSI no reciben todas las propiedades de la base de datos «udev». Si su instalación depende de propiedades inyectadas por el paquete sg3-utils-udev, migre de ellas o esté preparado para depurar los fallos después de reiniciar en trixie.
5.1.29. Timezones split off into tzdata-legacy package
Timezone names not following the current tzdata naming rule of geographical
region (continent or ocean) and city name were split out into the tzdata-legacy
package. This includes the US/* timezones.
If your installation uses such a timezone, it will be upgraded to use an
equivalent timezone. However, SQL databases like PostgreSQL and other services
might have copied the name into their configuration or data files. If necessary,
you can install the tzdata-legacy package.
See the tzdata-legacy file list for the affected timezones.
5.1.30. Cosas para hacer antes de reiniciar
Cuando haya terminado apt full-upgrade la actualización «formal» se habrá completado. No hay que hacer ninguna acción especial antes del siguiente reinicio del sistema tras la actualización a trixie.
5.2. Elementos no limitados durante el proceso de actualización
5.2.1. Los directorios /tmp y /var/tmp ahora se limpian regularmente
En las nuevas instalaciones, systemd-tmpfiles ahora eliminará regularmente archivos antiguos en /tmp y /var/tmp mientras el sistema está andando. Este cambio hace que Debian sea consistente con otras distribuciones. Debido a que hay un pequeño riesgo de pérdida de datos, se ha hecho de forma explícita el optar por esto («opt-in»): la actualización a Trixie creará un archivo /etc/tmpfiles.d/tmp.conf que mantiene el comportamiento antiguo. Puede eliminar este fichero para adoptar el nuevo comportamiento predeterminado, o editarlo para definir reglas personalizadas. El resto de esta sección explica el nuevo comportamiento predeterminado y cómo personalizarlo.
El nuevo comportamiento predeterminado es que los archivos en /tmp se eliminen automáticamente después de 10 días desde la última vez que se utilizaron (así como después de un reinicio). Los archivos en /var/tmp se eliminan después de 30 días (pero no se eliminan después de un reinicio).
Antes de adoptar el nuevo comportamiento predeterminado, debería adaptar cualquier programa local que almacene datos en /tmp o /var/tmp por largos períodos para utilizar ubicaciones alternas, como ~/tmp/, o indicar a systemd-tmpfiles que exceptúe el fichero de datos de la eliminación, creando un fichero local-tmp-files.conf en /etc/tmpfiles.d conteniendo líneas como:
x /var/tmp/my-precious-file.pdf
x /tmp/foo
Por favor consulte systemd-tmpfiles(8) y tmpfiles.d(5) para obtener más información.
5.2.2. systemd message: El sistema está marcado como: unmerged-bin
los desarrolladores de systemd originales desde la versión 256, consideran que los sistemas con directorios /usr/bin y /usr/sbin separados son extraños. Al iniciar systemd, este emite un mensaje para registrar este hecho: System is tainted: unmerged-bin.
Recomendamos ignorar este mensaje. El fusionado manual de estos directorios dejó de usarse y romperá actualizaciones futuras. Puede encontrar más detalles en el reporte de fallo #1085370.
5.2.3. Limitaciones debido a cuestiones de seguridad
Hay algunos paquetes para los que Debian no puede comprometerse a proporcionar versiones retrocompatibles por cuestiones de seguridad. La información de estos paquetes se cubre en las siguientes subsecciones.
Nota
El paquete debian-security-support ayuda a supervisar el estado de seguridad de los paquetes instalados en el sistema.
5.2.3.1. Estado de seguridad en los navegadores web y sus motores de visualización
Debian 13 incluye varios motores de navegadores que son susceptibles a un un flujo constante de vulnerabilidades de seguridad. La alta tasa de vulnerabilidades y la falta parcial de soporte en los paquetes originales en forma de ramas de largo plazo(LTS), hace muy difícil mantener estos pasadas. Adicionalmente, las interdependencias de bibliotecas hacen extremadamente difícil actualizar a versiones originales más nuevas. Las aplicaciones que usan el paquete fuente webkit2gtk (p. ej.**epiphany**) están cubiertas por actualizaciones de seguridad, pero las aplicaciones que usan qtwebkit (paquete fuente qtwebkit-opensource-src) no lo están.
Para la navegación web general se recomienda utilizar Firefox o Chromium. Se mantendrán actualizados mediante la reconstrucción de las versiones ESR actuales para stable. La misma estrategia se aplicará para Thunderbird.
Una vez que una versión se convierte en oldstable, los navegadores oficiales pueden no continuar recibiendo actualizaciones durante el período estándar de cobertura. Por ejemplo, Chromium solo recibirá 6 meses de actualizaciones de seguridad en oldstable en lugar de los típicos 12 meses.
5.2.3.2. Paquetes basados en Go y Rust
La infraestructura de Debian actualmente tiene problemas con la reconstrucción de paquetes de tipos que sistemáticamente usan enlazado estático. Con el crecimiento de los ecosistemas de Go y Rust significa que estos paquetes tendrán cobertura limitada de seguridad hasta que se mejore la infraestructura para manejarlos de manera sostenible.
En la mayoría de los casos si las actualizaciones están justificadas para las bibliotecas de desarrollo de Go o Rust, solo se publicarán a través de versiones menores regulares.
5.2.4. Problemas con las máquinas virtuales en PowerPC de 64 bit Little Endian (ppc64el)
Actualmente QEMU siempre intenta configurar máquinas virtuales PowerPC con páginas de 64 kiB de memoria. Esto no funciona para máquinas virtuales aceleradas por KVM cuando se usa el paquete predeterminado del núcleo.
Si el sistema operativo del cliente puede usar un tamaño de página de 4 kiB, usted debería establecer la propiedad de la máquina
cap-hpt-max-page-size=4096. Por ejemplo:$ kvm -machine pseries,cap-hpt-max-page-size=4096 -m 4G -hda guest.img
Si el sistema operativo cliente requiere un tamaño de página de 64 kiB, debería instalar el paquete linux-image-powerpc64le-64k; consulte Tamaño de página de PowerPC de 64 bits Little Endian (ppc64el).
5.3. Obsolescencia y deprecación
5.3.1. Paquetes obsoletos notables
A continuación se muestra una lista de los paquetes conocidos y notables que ahora están obsoletos (consulte Paquetes obsoletos para obtener una descripción).
La lista de paquetes obsoletos incluye:
El paquete libnss-gw-name ha sido eliminado de trixie. Los desarrolladores originales sugieren usar libnss-myhostname en su lugar.
El paquete pcregrep ha sido eliminado de trixie. Se puede reemplazar con
grep -P(--perl-regexp) opcre2grep(de pcre2-utils).El paquete request-tracker4 ha sido eliminado de Trixie. Su reemplazo es request-tracker5, que incluye instrucciones sobre cómo migrar sus datos: puede mantener el paquete obsoleto request-tracker4 de Bookworm instalado mientras se migra.
Los paquetes git-daemon-run y git-daemon-sysvinit se han eliminado de Trixie debido a razones de seguridad.
Los paquetes nvidia-graphics-drivers-tesla-470 ya no cuentan condesarrollo de origen y fueron eliminados de Trixie.
El paquete deborphan ha sido eliminado de Trixie. Para eliminar paquetes innecesarios debe usar
apt autoremove, después deapt-mark minimize-manual. debfoster también puede ser una herramienta útil.El paquete tldr ha sido eliminado de Trixie. Puede reemplazarlo con los paquetes tealdeer o tldr-py.
El paquete tpp (Text Presentation Program) ha sido eliminado de Trixie. Puede reemplazarlo con los paquetes lookatme o patat.
5.3.2. Componentes obsoletos de trixie
Con la publicación de Debian 14 (nombre en clave forky) algunas funcionalidades estarán obsoletas. Los usuarios deben migrar a otras alternativas para evitar problemas al actualizar a Debian 14.
Esto incluye las siguientes funcionalidades:
El paquete sudo-ldap será eliminado en Forky. El equipo de Debian sudo ha decidido descontinuarlo debido a dificultades de mantenimiento y uso limitado. Los sistemas nuevos y existentes deben usar en su lugar libsss-sudo.
Actualizar Debian Trixie a Forky sin completar esta migración puede resultar en la pérdida de privilegios de escalamiento planeados.
Por favor consulte el reporte de fallo 1033728 y el archivo NEWS en el paquete sudo si desea detalles adicionales.
La característica sudo_logsrvd, utilizada para registro de entrada y salida de sudo, podría eliminarse de Debian Forky a menos que un mantenedor la tome. Este componente es de uso limitado dentro del contexto Debian y mantenerlo añade complejidad innecesaria al paquete básico sudo.
Puede consultar la discusión en el reporte de fallo 1101451 y el archivo NEWS en el paquete sudo.
El paquete libnss-docker detuvo su desarrollo orignal y requiere la versión 1.21 de la API de Docker. Esa versión de API obsoleta aún es compatible con Docker Engine v26 (incluido en Debian Trixie) pero será eliminada en Docker Engine v27+ (incluido en Debian Forky). A menos que los desarrolladores originales reanuden el desarrollo, el paquete será eliminado en Debian Forky.
Los paquetes openssh-client y openssh-server actualmente usan autenticación e intercambio de claves GSS-API, que usualmente se usa para autenticar a servicios Kerberos. Esto ha causado algunos problemas, especialmente en el lado del servidor donde añade nueva superficie de ataque de preautenticación, y los paquetes principales de OpenSSH de Debian, por tanto dejarán de emplearlo a partir de forky.
Si está usando autenticación GSS-API o intercambio de claves (busque opciones que empiecen con
GSSAPIen sus archivos de configuración de OpenSSH) entonces debería instalar el paquete openssh-client-gssapi (en clientes) o openssh-server-gssapi (en servidores) ahora. En trixie, estos son paquetes vacíos que dependen de openssh-client y openssh-server respectivamente; en forky, se construirán por separado.sbuild-debian-developer-setup ha quedado obsoleto en favor de sbuild+unshare
sbuild, la herramienta para construir paquetes de Debian en un entorno mínimo, ha tenido una actualización mayor y debería funcionar sin configuración adicional ahora. Como resultado, el paquete sbuild-debian-developer-setup ya no es necesario y ha quedado obsoleto. Puede probar la nueva versión con:
$ sbuild --chroot-mode=unshare --dist=unstable hello
Los paquetes fcitx son reemplazados por fcitx5
La estructura de métodos de entrada fcitx también conocida como fcitx4 o fcitx 4.x ya no tiene desarrollo. Como resultado, todos los paquetes relacionados con métodos de entrada son ahora obsoletos. El paquete fcitx y los paquetes con nombres comenzando con fcitx- se van a eliminar en Debian forky.
Recomendamos a los usuarios de fcitx que cambien a fcitx5 siguiendo la guía de migración de fcitx de los desarrolladores y la página Wiki de Debian.
El paquete de gestión de máquinas virtuales lxd ya no se actualiza y los usuarios deberían moverse a incus.
Después de que Canonical Ltd cambió la licencia utilizada por LXD e introdujo un nuevo requisito de asignación de derechos de autor, el proyecto Incus se inició como un fork mantenido por la comunidad (ver reporte de fallo 1058592). Debian recomienda cambiar de LXD a Incus. El paquete incus-extra incluye herramientas para migrar contenedores y máquinas virtuales desde LXD.
El conjunto de herramientas isc-dhcp se tornó obsoleto por los desarrolladores.
Si está utilizando NetworkManager o systemd-networkd, puede eliminar sin riesgo el paquete isc-dhcp-client ya que ambos proporcionan su propia implementación. Si está utilizando el paquete ifupdown, dhcpcd-base proporciona un reemplazo. El ISC recomienda el paquete Kea como una alternativa para los servidores DHCP.
El desarrollo de KDE 5 se ha detenido.
Los proyectos KDE originales enfocaron sus esfuerzos de desarrollo hacia las bibliotecas Qt 6 basadas en KDE 6, y dejaron de mantener las bibliotecas Qt 5 basadas en KDE 5.
El equipo de Debian Qt / KDE planea eliminar el marco de desarrollo KDE 5 de Debian durante el ciclo de desarrollo de forky.
5.4. Bugs graves conocidos
Aunque Debian publica versiones cuando están listas, eso desafortunadamente no significa que no haya bugs conocidos. Como parte del proceso de publicación todos los bugs de severidad grave o superior los rastrea activamente el equipo de publicación, así quepuede encontrar en el Sistema de seguimiento de fallos un resumen de esos fallos etiquetados para ser ignorados en la última parte de la publicación de trixie. Los siguientes fallos estaban afectando a trixie al momento de la publicación y vale la pena mencionarlos en este documento:
Número de fallo |
Paquete (fuente o binario) |
Descripción |
|---|---|---|
akonadi-backend-mysql |
el servidor akonadi no es robusto frente a las actualizaciones de mysql |
|
apt |
apt update deja datos del índice antiguo silenciosamente |
|
artha |
Violación de segmento |
|
bacula-director-sqlite3 |
bacula-common: preinst aborta intencionalmente la actualización automática de bacula-director |
|
src:e2fsprogs |
mc: error al cargar bibliotecas compartidas: libcom_err.so.2: no se puede abrir el archivo de objeto compartido |
|
flash-kernel |
Una versión más alta (…) todavía está instalada, no es necesario volver a programar |
|
gcc-offload-amdgcn |
problemas para hacer dist-upgrade de Bookworm a Trixie |
|
git-merge-changelog |
git-merge-changelog pierde o corrompe las entradas de Changelog |
|
src:grub2 |
upgrade-reports: Dell XPS 9550 falla al iniciar después de actualizar de bullseye a bookworm - ¿fallo de interacción entre grub/bios? |
|
grub-efi-amd64 |
upgrade-reports: Bookworm a Trixie [amd64][EFI] al descomprimir initramfs se produce un fallo del número mágico al inicio del fichero comprimido |
|
grub-efi-amd64 |
Se eliminan las opciones del arranque UEFI después de actualizar a grub2 2.02~beta3-5+deb9u1 |
|
grub-efi-amd64 |
la actualización funciona, el arranque falla (error: symbol grub_is_lockdown not found) |
|
kmod |
initramfs-tools 146 genera initramfs incorrecta: no arranca, no encuentrael sistema de archivos raíz |
|
libreoffice-core |
Se elimina el archivo al abrirlo de forma concurrente en la misma máquina |
|
src:librsvg |
Contiene ficheros generados cuya fuente no es necesariamente la misma versión que está en main |
|
src:linux |
la imagen linux-6.12.35+deb13-amd64 se queda bloqueada durante el inicio, antes de que se pregunte la contraseña de dmcrypt |
|
src:linux |
Daña la pasarela PCI (vfio) para los clientes de la MV |
|
liblldb-dev |
problemas para hacer dist-upgrade de Bookworm a Trixie |
|
libmlir-17t64 |
libmlir-17t64 no se puede instalar en conjunto |
|
src:llvm-toolchain-18 |
llvm-toolchain-*: el código ensamblador al parecer depende de lascapacidades de la máquina donde se compila |
|
libc++-18-dev,libunwind-18-dev,libc++abi1-18,libc++abi-18-dev,libunwind-18 |
libc++-18-dev falla al instalarse en conjunto |
|
libmlir-18 |
libmlir-18 es multiarquitectura: falla al instalarse en conjunto |
|
src:llvm-toolchain-19 |
llvm-toolchain-*: el código ensamblador al parecer depende de lascapacidades de la máquina donde se compila |
|
llvm-19 |
llvm-toolchain-19: problemas al trabajar/compilar en i386 |
|
libmlir-19 |
libmlir-19 falla al instalarse en conjunto |
|
mbox-importer |
falla al hacer dist-upgrade desde Bookworm a Trixie (se elimina durante dist-upgrade) |
|
openshot-qt |
No inicia – AttributeError: type object “GreenSocket” has no attribute “sendmsg” |
|
python3.13 |
Un objeto referenciado únicamente por su propio __dict__ puede reciclarse muy temprano |
|
src:shim |
compilaciones que no requieren root de forma predeterminada |
|
snapd |
las aplicaciones snap basadas en core18 no funcionan con la tipografía fonts-cantarell cuando tiene tipografías variables |
|
python3-tqdm |
violación de segmento en el método destructor |
|
src:vala |
Viene con ficheros autogenerados que no pueden ser regenerados con el código en Debian main |
|
voctomix-gui |
no puede importar SafeConfigParser |
|
src:xen |
xen-hypervisor-4.14-amd64: dmesg de xen dmesg muestra (XEN) AMD-Vi: IO_PAGE_FAULT en el dispositivo sata pci |