openSUSE Leap 15.0

Примечания к выпуску

openSUSE Leap — это свободная операционная система на базе Linux для Вашего ПК,
ноутбука или сервера. Вы можете просматривать веб, управлять почтой и
фотографиями, выполнять офисную работу, смотреть видео или слушать музыку. Have
a lot of fun!

Участник: Александр Мелентьев
Дата публикации: 2019-11-26, Ве́рсия: 15.0.20191126.2e3aa44c

1 Установка
2 Обновление системы
3 Изменения в пакетах
4 Драйверы и оборудование
5 Рабочий стол
6 Безопасность
7 Технические данные
8 Дополнительные сведения и обратная связь

Срок поддержки openSUSE Leap 15.0 закончился. Для поддержания своих систем в
обновлённом и защищённом состоянии, обновитесь до текущей версии openSUSE.
Перед началом обновления убедитесь, что установили все обновления сопровождения
для openSUSE Leap 15.0.

Больше сведений о переходе на новую версию openSUSE приведено по адресу http://
en.opensuse.org/SDB:Distribution-Upgrade.

Если вы обновляетесь с более старой версии до этого выпуска openSUSE Leap, см.
предыдущие примечания здесь: http://en.opensuse.org/openSUSE:Release_Notes.

Информация о проекте доступна по адресу https://www.opensuse.org.

1 Установка

Данный раздел содержит информацию по установке. Подробные инструкции по
обновлению приведены в документации на https://doc.opensuse.org/documentation/
leap/startup/html/book.opensuse.startup/part.basics.html.

Изучите также Раздел 4, «Драйверы и оборудование».

1.1 Использование атомарных обновлений с новой системной ролью Сервер
транзакций

Установщик теперь поддерживает новую системную роль Сервер транзакций,
результат усилий проекта openSUSE Kubic. Эта роль предлагает новую систему
обновлений, которая применяет обновления атомарно (как одну операцию) и
существенно упрощает их откат при необходимости. Эти возможности основаны на
тех же утилитах управления пакетами, что применяются в остальных дистрибутивах
SUSE и openSUSE. Это означает, что подавляющее большинство RPM-пакетов,
работающих с другими ролями openSUSE Leap 15.0, будет работать и с ролью Сервер
транзакций.

Примечание

Примечание: Несовместимые пакеты

Некоторые пакеты изменяют содержимое /var или /srv в своих RPM-макросах %post.
Эти пакеты несовместимы. Если вы обнаружите такой пакет, отправьте сообщение об
ошибке.

Для предоставления этих возможностей система обновлений полагается на:

  • Снимки btrfs.  Перед запуском обновления системы создаётся новый снимок
    корневой файловой системы. После этого все обновления устанавливаются на
    этот снимок. Чтобы завершить обновление, перезапустите систему с нового
    снимка.

    Чтобы откатить обновление, просто загрузитесь с предыдущего снимка.

  • Корневая файловая система только для чтения.  Во избежание проблем и потерь
    данных, связанных с обновлениями, корневая файловая система должна быть
    недоступна для записи во всех остальных случаях. Поэтому во время
    нормальной работы корневой раздел монтируется только для чтения.

    Чтобы этот подход работал, нужны два дополнительных изменения в файловой
    системе: чтобы позволить запись пользовательских конфигураций в /etc, этот
    каталог автоматически настроен на использование OverlayFS. /var теперь
    отдельный подтом с правом записи для процессов.

Важно

Важно: Сервер транзакций требует не менее 12 ГБ на диске

Системной роли Сервер транзакций требуется диск размером не менее 12 ГБ для
размещения снимков btrfs.

При работе с транзакционными обновлениями всегда используйте команду
transactional-update вместо YaST и Zypper для любого управления ПО:

  • Обновить систему: transactional-update up

  • Установить пакет: transactional-update pkg in ИМЯ_ПАКЕТА

  • Удалить пакет: transactional-update pkg rm ИМЯ_ПАКЕТА

  • Для отката к последнему снимку убедитесь, что система загружена со
    следующего за ним снимка и запустите: transactional-update rollback

    При желании укажите идентификатор снимка в конце команды, чтобы откатиться
    на определённый снимок.

При использовании данной системной роли согласно настройкам по умолчанию
система будет выполнять ежедневное обновление и перезагрузку между 03:30 и
05:00 утра. Оба эти действия настроены через systemd и при необходимости могут
быть отключены с помощью systemctl:

tux@linux > sudo systemctl disable --now transactional-update.timer rebootmgr.service

Подробнее о транзакционных обновлениях читайте в блоге openSUSE Kubic: https://
kubic.opensuse.org/blog/2018-04-04-transactionalupdates/ и https://
kubic.opensuse.org/blog/2018-04-20-transactionalupdates2/.

1.2 Установка минимальной системы

В минимальной системе отсутствуют некоторые функции, которые часто принимаются
как должное:

  • Отсутствует интефейс для программного брандмауэра. Можно дополнительно
    установить пакет firewalld.

  • Отсутствует YaST. Можно дополнительно установить шаблон 
    patterns-yast-yast2_basis.

1.3 Установка на диски объёмом менее 12 ГБ

Установщик предложит схему разметки только если доступный диск имеет размер
более 12  ГБ. Если вы, например, устанавливаете очень маленькие образы
виртуальных машин, используйте разметку с подсказками для настройки параметров
вручную.

1.4 UEFI — единый интерфейс EFI

Перед установкой openSUSE на систему, загружающуюся с помощью UEFI (Unified
Extensible Firmware Interface), вам настоятельно рекомендуется проверить
наличие обновлений прошивки, рекомендованных производителем, и в случае их
существования установить такие обновления. Предустановленная Windows 8 или
более новая является верным признаком того, что ваша система использует UEFI.

Обоснование: Некоторые прошивки UEFI содержат ошибки, приводящие к сбою в
случае записи слишком большого объёма данных в область хранения UEFI. Что
характерно, никто точно не знает, насколько «большой» объём приводит к такому
сбою.

openSUSE минимизирует этот риск, записывая минимальный объём данных,
необходимых для загрузки ОС. Под минимальным понимается указание прошивке UEFI
на расположение загрузчика openSUSE. Специальные возможности ядра Linux,
использующие область хранения UEFI для сведений о загрузках и сбоях (pstore),
по умолчанию отключены. Тем не менее, рекомендуется установить все
рекомендованные производителем обновления прошивки.

1.5 UEFI, GPT и разделы MS-DOS

Вместе со спецификацией EFI/UEFI применяется новый способ разметки: GPT (GUID
Partition Table). Он использует глобально уникальные идентификаторы (128-битные
значения в виде 32 шестнадцатеричных цифр) для определения устройств и типов
разделов.

Кроме этого, спецификация UEFI разрешает использование устаревших разделов MBR
(MS-DOS). Загрузчики Linux (ELILO или GRUB2) пытаются автоматически создать
GUID для таких разделов и сохранить изменения в прошивке. Такие GUID могут
часто изменяться, что приводит к перезаписи данных прошивки. Перезапись состоит
из двух разных действий: удаления старой записи и создания новой записи на
замену старой.

В современных прошивках есть сборщик мусора, собирающий удалённые записи и
освобождающий память, зарезервированную под старые записи. Проблема возникает в
случае, когда глючная прошивка не освобождает такие записи; это может привести
к невозможности загрузки системы.

Чтобы обойти эту проблему, сконвертируйте устаревший раздел MBR в новый GPT.

1.6 Масштабирование интерфейса установщика на компьютерах с HiDPI экранами

Установщик YaST не масштабирует по умолчанию свой интерфейс для экранов с
высоким DPI. Если у вас HiDPI-экран, то вы можете настроить YaST на корректное
масштабирование. Чтобы сделать это, добавьте параметр
QT_AUTO_SCREEN_SCALE_FACTOR=1 в командную строку загрузчика.

2 Обновление системы

В этом разделе перечислены замечания, связанные с обновлением системы.
Подробные инструкции по обновлению приведены в документации по адресу https://
doc.opensuse.org/documentation/leap/startup/html/book.opensuse.startup/
cha.update.osuse.html.

Изучите также Раздел 4, «Драйверы и оборудование».

Кроме того, проверьте Раздел 3, «Изменения в пакетах».

2.1 Обновление с openSUSE Leap 42.3

2.1.1 Понижение версий пакетов при системном обновлении

Служебная информация RPM-пакетов, поставляемых в openSUSE Leap 15.0, содержит
дополнительную строку версии openSUSE Leap. Поэтому пакеты с той же версией ПО,
что поставлялась в openSUSE Leap 42.3, будут показаны в разделе понижения
версии, хотя на самом деле они содержат то же ПО, просто скомпилированное для
более новой операционной системы.

2.1.2 cryptconfig удалён

Предыдущие версии openSUSE Leap поддерживали шифрование индивидуальных домашних
каталогов через cryptconfig. Эта возможность и пакет cryptconfig более
недоступны в openSUSE Leap 15.0.

Чтобы зашифровать пользовательские данные в openSUSE Leap 15.0, зашифруйте весь
раздел/том с домашними каталогами.

Подсказка

Подсказка: Расшифровка перед обновлением

Мы настоятельно рекомендуем расшифровать зашифрованные домашние каталоги перед
выполнением обновления с openSUSE Leap 42.3. Хотя в openSUSE Leap 15.0 всё ещё
можно использовать существующие домашние каталоги (пока доступна применяемая
технология, pam_mount), в будущем это может привести к проблемам с обновлением.

Также не существует простого способа индивидуально зашифровать домашние
каталоги пользователей, добавленных после обновления до openSUSE Leap 15.0.

2.1.3 Postfix Admin использует раскладку каталогов без обратной совместимости

Начиная с версии 3.2, поставляемой в openSUSE Leap 15.0, Postfix Admin (пакет 
postfixadmin) использует новую раскладку каталогов, несовместимую со старой:

  • Конфигурационные файлы перемещены в /etc/postfixadmin.

  • PHP-код перемещён в /usr/share/postfixadmin.

  • Кэш Smarty перемещён в /var/cache/postfixadmin.

Postfix Admin больше не ищет конфигурационные файлы в старом месте и не
осуществляет миграцию автоматически. Так что следующие вещи придётся переносить
вручную:

  • config.local.php из /srv/www/htdocs/postfixadmin в /etc/postfixadmin.

  • Если вы вносили изменения в config.inc.php, то в идеале их нужно объединить
    в /etc/postfixadmin/config.local.php. Мы рекомендуем оставить
    config.inc.php без изменений.

  • В настройках Apache добавьте или включите псевдоним /postfixadmin:

      □ Чтобы псевдоним стал доступен на всех виртуальных хостах, запустите:

        tux@linux > sudo a2enflag POSTFIXADMIN && rcapache2 restart

      □ Чтобы псевдоним был доступен на определённом виртуальном хосте,
        добавьте его в настройки этого виртуального хоста.

2.1.4 Сбой обновления без сети при маппинге зашифрованных дисков по имени

Использование обновления без сети на компьютере с зашифрованным разделом
данных, например,/home, может привести к падению установщика YaST при выборе
предыдущей установки.

Это происходит, когда зашифрованный раздел с данными указан в /etc/fstab по
имени device mapper, например, /dev/mapper/cr_home. В установочном окружении
YaST не может ассоциировать этот путь с обнаруженным томом.

Чтобы использовать возможность обновления без сети, внесите изменения в /etc/
fstab таким образом, чтобы вместо имён устройств использовались UUID. Чтобы
определить корректные UUID, используйте следующую команду:

tux@linux > blkid | grep "ИМЯ_DEVICE_MAPPER"

Вывод этой команды будет содержать UUID в кавычках после строки UUID=.

2.1.5 У GPG новый формат базы данных ключей

openSUSE Leap 42.3 поставлялась с GPG 2.0, а openSUSE Leap 15.0 — с GPG 2.2.
При переходе на эту версию меняется формат базы данных ключей. GPG 2.2
автоматически обновит формат вашей связки ключей. Однако, более старые версии
GPG больше не смогут использовать обновлённую связку ключей.

Если вам нужно сохранить доступ к базе ключей в старом формате, создайте
резервную копию каталога ~/.gnupg перед обновлением до openSUSE Leap 15.0.

2.1.6 ntpd заменён на Chrony

Демон синхронизации времени ntpd был заменён на более современный демон Chrony.

Это изменение означает, что файлы AutoYaST с разделом ntp_client должны быть
обновлены с учётом нового формата для этого раздела. Больше сведений о новом
формате AutoYaST ntp_client приведено по ссылке https://doc.opensuse.org/
projects/autoyast/#Configuration.Network.Ntp.

Чтобы синхронизировать время через определённые интервалы, YaST производт
настройку cron через специальный файл. Начиная с openSUSE Leap 15.0,
используемый для этого файл принадлежит пакету yast2-ntp-client (ранее этот
файл не принадлежал ни одному пакету). Конфигурационный файл был переименован
из novell.ntp-synchronization в suse-ntp_synchronization, чтобы соответствовать
остальным конфигурационным файлам cron. Обновление с предыдущих версий openSUSE
Leap осуществляется автоматически: если обнаруживается файл со старым именем,
то он переименовывается и содержащиеся в нём упоминания ntpd заменяются на
chrony.

3 Изменения в пакетах

3.1 Устаревшие пакеты

Устаревшие пакеты по-прежнему поставляются как часть дистрибутива, но будут
удалены в следующей версии openSUSE Leap. Они существуют для облегчения
миграции, но их использование не рекомендуется и для них могут отсутствовать
обновления.

Чтобы проверить, имеют ли поддержку установленные пакеты, убедитесь что
установлен lifecycle-data-openSUSE, а затем используйте команду:

tux@linux > zypper lifecycle

3.2 Удалённые пакеты

Удалённые пакеты более не поставляются как часть дистрибутива.

  • cryptconfig: более не сопровождался. Вместо него используйте шифрование
    раздела. Подробнее см. Раздел 2.1.2, «cryptconfig удалён».

  • SuSEfirewall2: Заменён на firewalld. Сведения по миграции на firewalld
    приведены по адресам https://en.opensuse.org/Firewalld и https://
    doc.opensuse.org/documentation/leap/security/html/book.security/
    cha.security.firewall.html#sec.security.firewall.firewalld.

  • php7-imap: Необязательное расширение IMAP PHP более не поставляется, так
    как базовая реализация UW IMAP больше не сопровождается.

4 Драйверы и оборудование

4.1 Зависание машин с картами Nvidia и гибридной графикой

С ядром, поставляемым в openSUSE Leap 15.0 GM, драйвер Nouveau для видеокарт
Nvidia может зависнуть при перезагрузке, выключении или при выполнении действий
по управлению питанием. Эта ошибка происходит в основном на системах с
гибридной графикой, например, ноутбуках с интегрированной картой Intel и
дискретной картой Nvidia.

Эта ошибка будет исправлена в обновлении для ядра. Тем не менее, поскольку
установочный образ обновлён не будет, эта ошибка может случиться при установке
или первой загрузке даже после выпуска обновления. В этом случае в качестве
временной меры можно загрузиться с параметром nouveau.modeset=0. После
установки обновления с исправлением для ядра можно будет удалить этот параметр
и снова загружаться без него.

4.2 KDE не поддерживается в Wayland с проприетарным драйвером Nvidia

Wayland-сеанс KDE Plasma не поддерживается для проприетарного драйвера Nvidia.
Если вы используете KDE и проприетарный драйвер Nvidia, оставайтесь в X-сеансе.

5 Рабочий стол

В этой секции перечислены проблемы с рабочими столами в openSUSE Leap 15.0.

5.1 Нет клавиши Compose по умолчанию

В предыдущих версиях openSUSE клавиша compose позволяла набирать символы, не
входящие в состав обычной раскладки клавиатуры. Например, чтобы набрать «å»,
можно было нажать и отпустить Shift–Правый Ctrl, а затем дважды нажать a.

В openSUSE Leap 15.0 больше нет предопределённого сочетания клавиш для функции
compose, поскольку сочетание клавиш Shift–Правый Ctrl перестало работать как
раньше.

  • Для назначения общесистемного сочетания клавиш для compose воспользуйтесь
    следующими строчками в файле /etc/X11/Xmodmap:

    [...]
    !! Third example: Change right Control key to Compose key.
    !! To do Compose Character, press this key and afterwards two
    !! characters (e.g. `a' and `^' to get 342).
    !remove  Control  = Control_R
    !keysym Control_R = Multi_key
    !add     Control  = Control_R
    [...]

    Чтобы раскомментировать код примера, удалите символы ! в начале каждой
    строки. Обратите внимание, что настройки из файла Xmodmap будут
    перезаписаны, если вы воспользуетесь командой setxkbmap.

  • Чтобы определить сочетание клавиш для compose индивидуально для
    пользователя, используйте утилиту настройки клавиатуры его рабочего стола
    или утилиту командной строки setxkbmap:

    tux@linux > setxkbmap [...] -option compose:КЛАВИША_COMPOSE

    В переменной КЛАВИША_COMPOSE используйте предпочитаемую кнопку, например,
    ralt, lwin, rwin, menu, rctl или caps.

  • В качестве альтернативы можно использовать метод ввода IBus, позволяющий
    набирать нужные символы без использования клавиши Compose.

5.2 Use update-alternatives to Set Display Manager and Desktop Session

In the past, you could use /etc/sysconfig or the YaST module /etc/sysconfig
Editor to define the display manager (also called the login manager) and
desktop session. Starting with openSUSE Leap 15.0, the values are not defined
using /etc/sysconfig anymore but with the alternatives system.

Чтобы изменить значения по умолчанию, используйте следующие альтернативы:

  • Display manager: default-displaymanager

  • Сеанс Wayland: default-waylandsession.desktop

  • Сеанс X: default-xsession.desktop

Например, чтобы проверить значение default-displaymanager, используйте:

tux@linux > sudo update-alternatives --display default-displaymanager

Чтобы сменить default-displaymanager на xdm, используйте:

tux@linux > sudo update-alternatives --set default-displaymanager \
  /usr/lib/X11/displaymanagers/xdm

Чтобы управлять альтернативами в графическом режиме, используйте модуль YaST 
Альтернативы, который можно установить из пакета yast2-alternatives.

5.3 Не работает блокировка экрана при использовании GNOME Shell без GDM

При использовании GNOME Shell совместно с отличным от GDM менеджером входа,
например, SDDM или LightDM, нельзя заблокировать экран. Кроме того, невозможно
сменить пользователя без выхода.

Чтобы иметь возможность блокировать экран из GNOME Shell, установите GDM в
качестве менеджера входа:

 1. Убедитесь, что пакет gdm установлен.

 2. Установить GDM как менеджер экрана:

    tux@linux > sudo update-alternatives --set default-displaymanager \
      /usr/lib/X11/displaymanagers/gdm

 3. Перезагрузитесь.

5.4 Масштабирование SDDM на компьютерах с HiDPI-экранами

Менеджер входа в KDE по умолчанию, SDDM, не масштабирует по умолчанию свой
интерфейс для экранов с высоким DPI. Если у вас HiDPI-экран, то вы можете
настроить SDDM на корректное масштабирование с помощью конфигурационного файла
/etc/sddm.conf:

[X11]
EnableHiDPI=true
ServerArguments=-nolisten tcp -dpi ЗНАЧЕНИЕ_DPI

Замените ЗНАЧЕНИЕ_DPI на подходящее значение, например, 192. Для наилучшего
масштабирования используйте значение DPI, кратное 96.

5.5 Масштабирование интерфейса YaST на компьютерах с HiDPI-экранами

YaST не масштабирует по умолчанию свой интерфейс для экранов с высоким DPI.
Если у вас HiDPI-экран, то вы можете настроить YaST на корректное
масштабирование. Чтобы сделать это, задайте переменную окружения
QT_AUTO_SCREEN_SCALE_FACTOR=1.

5.6 Использование автоматического масштабирования приложений на Qt в установках
со смесью HiDPI и обычных мониторов

Qt поддерживает автоматическое помониторное масштабирование в X. Для вычисления
размера шрифта основного монитора используется значение DPI виртуального экрана
X. По умолчанию это 96 DPI. Для вычисления размеров шрифтов на остальных
мониторах используется относительный DPI основного монитора.

Два широко используемых окружения рабочего стола принудительно обходят такое
поведение Qt, так что этот пункт к ним не относится:

  • GNOME задаёт в Xft.dpi настроенное значение, кратное 96 DPI.

  • KDE Plasma отключает автоматическое масштабирование Qt и использует
    настройки ручного масштабирования.

В других окружениях рабочего стола такое поведение Qt может привести к
нежелательным результатам, например: если у основного монитора высокий DPI (>=
 144 DPI), то шрифты Qt-приложений, требующих мастабирования, типа VLC,
уменьшаются до половины желаемого размера на всех мониторах. Приложения, не
требующие масштабирования, типа YaST с настройками по умолчанию, будут
использовать одинаковое значение DPI на всех мониторах. То есть будут выглядеть
меньше на HiDPI-экране.

Для обхода этой проблемы можно использовать один из этих способов:

  • Используйте в качестве основного монитор с обычным DPI. Тогда приложения,
    требующие масштабирования, будут корректно отображаться на HiDPI-мониторе.

  • Задайте подходящий DPI для шрифтов (Xft.dpi). Это можно сделать с помощью
    утилиты настройки вашего рабочего стола. Либо после каждого входа
    запускайте следующую команду:

    tux@linux > echo Xft.dpi:ЗНАЧЕНИЕ_DPI | xrdb -nocpp -merge

    Замените ЗНАЧЕНИЕ_DPI на подходящее для основного монитора значение.

5.7 Общий доступ к экрану в Firefox или Chromium не работает на Wayland

Firefox и Chromium позволяют веб-инструментам, например, приложениям для
видеоконференций, получить доступ ко всему экрану или отдельным окнам
приложений. Эта функциональность в настоящее время не поддерживается ни одним
браузером при использовании сеанса Wayland.

Чтобы позволить общий доступ к экрану в Firefox или Chromium, используйте
X-сеанс.

5.8 Воспроизведение MP3-файлов

Кодеки для воспроизведения файлов MP3 входят в состав стандартного репозитория.

Чтобы использовать этот декодер в приложениях и фреймворках на базе gstreamer,
например, Rhythmbox или Totem, установите пакет gstreamer-plugins-ugly.

5.9 В LibreOffice нет поддержки шрифтов Type-1

LibreOffice версии 5.3 и выше больше не поддерживает устаревшие шрифты в
формате Type-1 (расширения .afm и .pfb). Это никак не скажется на работе
большинства пользователей, поскольку современные шрифты доступны в формате
TrueType (.ttf) либо OpenType (.otf).

Если на вашу работу это влияет, преобразуйте шрифты Type-1 в поддерживаемый
формат, например, TrueType, и используйте преобразованные шрифты.
Преобразование можно выполнить с помощью приложения FontForge (пакет fontforge
), входящего в состав openSUSE. Сведения по написанию скриптов для
преобразования приведены по адресу https://fontforge.github.io/en-US/
documentation/scripting/.

5.10 Изменения в рендеринге шрифтов FreeType

У FreeType 2.6.4 появился новый интерпретатор хинтинга для глифов (версия 38),
результат работы которого больше соответствует другим операционным системам, но
некоторым может показаться «более размытым». Чтобы восстановить предыдущее
поведение FreeType, задайте следующую переменную окружения на любом выбранном
уровне (системном, пользовательском или для конкретной программы):

FREETYPE_PROPERTIES="truetype:interpreter-version=35"

5.11 Включение интеграции браузеров в KDE Plasma

Интеграция браузеров в Plasma для Firefox и Chromium/Chrome позволяет
отслеживать воспроизведение и загрузки с помощью системных инструментов KDE и
предоставлять быстрый доступ к вкладкам из панели Запуск команд KDE Plasma.

Интеграция браузеров состоит из двух компонентов, работающих совместно:

  • Компонент для рабочего стола можно установить с помощью системного пакета 
    plasma-browser-integration.

  • Компонент для браузера следует установить из магазина дополнений вашего
    браузера:

      □ Для Firefox: https://addons.mozilla.org/firefox/addon/
        plasma-integration/

      □ Для Chromium/Chrome: https://chrome.google.com/webstore/detail/
        plasma-integration/cimiefiiaegbelhefglklhhakcgmhkai

Учтите, что эта функция ещё в разработке и в openSUSE Leap 15.0 поставляется её
ранняя версия.

5.12 Загрузка модуля Emacs psgml

Из-за конфликтов с модулями Emacs в установке по умолчанию openSUSE Leap 15.0
больше не может автоматически загружать модуль psgml. Более подробные сведения
приведены в файле README из пакета psgml.

6 Безопасность

В этом разделе приведены изменения в возможностях безопасности openSUSE Leap
15.0.

6.1 GPG больше не поддерживает ключи GPG V3, что приводит к предупреждениям от
Zypper/rpm

openSUSE Leap 42.3 поставлялась с GPG 2.0, а openSUSE Leap 15.0 — с GPG 2.2. В
новой версии поддержка ключей GPG V3 была удалена. Если ваша системная база
данных до сих пор содержит ключи GPG V3, вы можете получить предупреждение об
этомпри выполнении команд Zypper или rpm, поскольку эти команды проверяют
целостность базы данных пакетов. Эти предупреждения выглядят примерно так
warning: Unsupported version of key: V3.

Обычно такие предупреждения безвредны, поскольку эти ключи могли использоваться
для репозиториев, которые больше не используются или уже обновили ключи.
Однако, если эти ключи до сих пор активно применяются используемым
репозиторием, они должны быть заменены как можно скорее:

  • Инструменты управления пакетами в openSUSE Leap 15.0 больше не могут
    использовать их для проверки целостности пакетов.

  • Сами ключи небезопасны. Так что несмотря на то, что более старые
    инструменты управления пакетами будут использовать их для проверки
    целостности пакетов, самим результатам проверки более доверять нельзя.

Чтобы удалить такие ключи, выполните следующее:

 1. Запустите команду rpm с высокой детализацией и проверьте вывод:

    tux@linux > rpm -vv -qf /etc
    ufdio: 1 reads, 18883 total bytes in 0.000006 secs
    [...]
    D: read h# 168 Header sanity check: OK
    warning: Unsupported version of key: V3
    [...]

    В этом примере, заголовок 168 связан с просроченным ключом — предупреждение
    появляется сразу после сообщения о проверке этого заголовка.

 2. Выясните номер ключа, связанный с этим заголовком:

    tux@linux > rpm -q --querybynumber ЗАГОЛОВОК

    Замените ЗАГОЛОВОК на требуемый номер заголовка. В данном примере это будет
    168.

    Эта команда возвращает идентификатор ключа, начинающийся с gpg-pubkey-.

 3. (Необязательно) Используйте идентификатор ключа (ID_КЛЮЧА), чтобы узнать о
    нём больше:

    tux@linux > rpm -qi ID_КЛЮЧА

 4. Удалите ключ из системы:

    tux@linux > sudo rpm -e ID_КЛЮЧА

 5. Если при последующем использовании инструментов управления пакетами вы
    снова увидите предупреждения, повторите процедуру.

6.2 Команда systemctl stop apparmor не работает

В прошлом было легко запутаться и не заметить разницу между тем, как сходно
названные подкоманды systemctl reload и restart работали для AppArmor:

  • systemctl reload apparmor корректно перезагружала все профили AppArmor (это
    было и остаётся рекомендованным способом перезагрузки профилей AppArmor.)

  • systemctl restart apparmor приводила к остановке AppArmor и выгрузке всех
    профилей, что оставляло все существующие процессы без ограничений. Т.е.
    ограничения применялись только к вновь запущенным процессам.

Увы, systemd не предоставляет решения в рамках формата своих unit-файлов для
проблемы, создаваемой сценарием restart.

Начиная с AppArmor 2.12, команда systemctl stop apparmor работать не будет. В
качестве одного из последствий команда systemctl restart apparmor теперь будет
корректно перезагружать профили AppArmor.

Для выгрузки всех профилей AppArmor используйте новую команду aa-teardown,
соответствующую старому поведению systemctl stop apparmor.

Подробнее см. https://bugzilla.opensuse.org/show_bug.cgi?id=996520 и https://
bugzilla.opensuse.org/show_bug.cgi?id=853019.

7 Технические данные

7.1 Обновлённая раскладка подтомов btrfs

openSUSE Leap 15.0 представляет новую раскладку подтомов Btrfs, стремящуюся к
следующему:

  • Упрощение снимков и откатов

  • Предотвращение случайной потери данных

  • Улучшение производительности баз данных и образов ВМ, хранящихся в /var

Вместо использования множества подтомов для разных подкаталогов /var, openSUSE
Leap 15.0 использует один подтом для всего /var. Функция копирования при записи
на этом подтоме отключена.

Не существует предопределённого способа обновиться на новую раскладку подтомов.
Так что если вы захотите воспользоваться предоставляемыми ей преимуществами, то
убедитесь, что устанавливаете openSUSE Leap 15.0 начисто, а не обновляетесь.

Больше сведений о раскладке подтомов Btrfs по умолчанию до и после этого
изменения приведено по адресу https://en.opensuse.org/SDB:BTRFS.

7.2 Wicked: Использование DHCPv4 client-id из RFC 4361 в Ethernet

RFC 4361 обновляет client-id, определённый в разделе 9.14 RFC 2132, для
совместимости с DHCP 6 client-id (duid). использование RFC 4361 обязательно для
Infiniband (RFC 4390), а также требуется для выполнения обновлений записей DNS
в той же зоне для адресов DHCP 4 и DHCP 6 по Ethernet.

В openSUSE Leap 15.0:

  • Сервер ISC DHCP 4.3.x поддерживает новый RFC 4361 (требуется для обновления
    DNS)

  • Wicked предоставляет возможность отправки такого client-id и
    автоматического использования client-id из DHCPv6 в DHCPv4 (используется в
    Infiniband).

Чтобы отправить client-id во время установки, используйте linuxrc (см. также
https://en.opensuse.org/SDB:Linuxrc) со следующим ifcfg:

ifcfg=eth0=dhcp,DHCLIENT_CLIENT_ID=01:03:52:54:00:02:c2:76,DHCLIENT6_CLIENT_ID=00:03:52:54:00:02:c2:76

Больше сведений приведено в документации по параметрам dhcp4 "create-cid",
dhcp6 "default-duid" в man 5 wicked-config, wicked duid --help и wicked iaid
--help.

Традиционно используемый DHCPv4 client-id по RFC 2132 составляется из кода типа
оборудования (01 для Ethernet) и аппаратного адреса (MAC-адреса), например:

01:52:54:00:02:c2:76

client-id по RFC 4361 начинается с 0xff (вместо кода типа оборудования), затем
идёт DHCPv6 IAID (interface-address association ID, идентификатор интерфейса
машины), затем DHCPv6 DUID (client-id, идентифицирующий машину).

При использовании DUID на основе типа и адреса оборудования выше (используемый
по умолчанию тип LLT), новый DHCPv4 client-id по RFC 4361 будет таким:

  • При использовании в качестве IAID последних байтов MAC-адреса:
    ff:00:02:c2:76:00:01:xx:xx:xx:xx:52:54:00:02:c2:76

  • При использовании в качестве IAID просто инкрементируемого числа:
    ff:00:00:00:01:00:01:xx:xx:xx:xx:52:54:00:02:c2:76

xx:xx:xx:xx в DUID-LLT — это метка времени создания. В DUID-LL (00:03:00:01:MAC
) нет метки времени.

8 Дополнительные сведения и обратная связь

  • Читать файлы README на установочном носителе.

  • Просмотреть подробный журнал изменений конкретного пакета из его RPM:

    tux@linux > rpm --changelog -qp ИМЯ_ФАЙЛА.rpm

    Замените ИМЯ_ФАЙЛА на имя пакета RPM.

  • Хронологический журнал всех изменений в обновлённых пакетах приведён в
    файле ChangeLog на верхнем уровне диска.

  • Больше сведений вы найдёте в каталоге docu на диске.

  • Дополнительная и обновлённая документация по адресу https://
    doc.opensuse.org/.

  • Последние новости от openSUSE по адресу https://www.opensuse.org.

Авторские права © SUSE LLC

© 2017 SUSE

