Julkaisutiedot #

openSUSE Leap 15.3:n ylläpitoasetus koostuu kolmesta päivityslähteestä. Nämä ovat: repo-update, repo-backports-update ja repo-sle-update. Kaksi jälkimmäistä ovat uusia ja tulosta SUSE Linux Enterprisen binaarien uudelleenkäytöstä. Nämä päivityslähteet ovat käytettävissä ja tarkistetaan openSUSE Leapin verkkoasennuksessa. Niitä suositellaan käytettäväksi. Lisäksi ”nollan päivän” ylläpitopäivitysten kautta uusia päivityslähdemäärityksiä tarjoaa openSUSE-release-paketti. Päivitys toimitetaan perinteiseltä repo-update-ylläpitokanavalta, jolla on erityinen päivityslippu merkiksi siitä, että se käyttää ohjelmistohallinta-aluetta, jonka sitten zypper käsittelee erityistavalla. zypper up -komennolla voi varmistaa, että kaikki päivitykset käsitellään. Lisätietoa: https://bugzilla.opensuse.org/show_bug.cgi?id=1186593.

repo-update-lähde on openSUSE Leapin OSS-päivityksille. Se on pienin ja sisältää järjestelmäasetuspaketit kuten julkaisupaketin, tuotemerkinnän ja mahdolliset haarautukset SUSE Linux Enterprisen paketeista. Lähteestä on myös debug-info-muunnelma.

repo-backports-update-lähde on openSUSEn taannehtivien päivitysten lähde, joka sisältää päivitykset valtaosaan openSUSE Leapin paketeista. Tällä lähteellä on myös debug-info-muunnelma.

Kolmas lähde nimeltä repo-sle-update on päivityslähde, joka sisältää yhdistelmäpäivitykset kaikista aktiivisista SUSE Linux Enterprisen päivitysvirroista. Tällä lähteellä ei ole debug-info-muunnelmaa.

Asennus tukee transaktionaalinen palvelin -järjestelmäroolia. Sen piirteisiin kuuluu päivitykset atomisesti (jakamattomina toimenpiteinä) tekevä päivitysjärjestelmä, jonka ansiosta muutokset voi tarvittaessa helposti kumota. Ominaisuus pohjautuu kaikkien SUSE- ja openSUSE-jakelujen käyttämiin paketinhallintatyökaluihin, joten valtaosa openSUSE Leap 15.3:n muissakin järjestelmärooleissa toimivista RPM-paketeista toimii myös transaktionaalisessa palvelimessa.

Huomaa: Epäyhteensopivat paketit

Jotkin paketit muokkaavat /var- tai /srv-kansioiden sisältöä RPM:iensä %post-skripteissä. Nämä paketit eivät ole yhteensopivia. Jos kohtaat tällaisen paketin, ilmoita virheestä.

Tarjotakseen nämä ominaisuudet päivitysjärjestelmä luottaa seuraaviin:

Tärkeää: Transaktionaalinen palvelin vaatii levytilaa vähintään 12 Gt

Järjestelmärooli transaktionaalinen palvelin vaatii vähintään 12 Gt levyn Btrfs-tilannevedosten käyttöön ottamiseksi.

Tärkeää: YaST ei toimi transaktionaalisessa tilassa

YaST ei toistaiseksi toimi transaktionaalisissa päivityksissä, koska se suorittaa toimenpiteensä välittömästi eikä pysty muuttamaan vain luettavaa tiedostojärjestelmää.

Transaktionaalisia päivityksiä käytettäessä käytä aina komentoa transactional-update kaikkeen paketinhallintaan YaSTin ja Zypperin sijaan:

Tätä järjestelmäroolia käyttäessäsi järjestelmä päivittyy ja käynnistyy uudelleen päivittäin kello 3.30 ja 5.00. Kumpikin toiminto on systemd-perustainen, ja ne voi tarvittaessa estää systemctl-komennolla:

systemctl disable --now transactional-update.timer rebootmgr.service

Lue lisää transaktionaalisista päivityksistä openSUSEn Kubic-blogin viesteistä https://kubic.opensuse.org/blog/2018-04-04-transactionalupdates/ ja https://kubic.opensuse.org/blog/2018-04-20-transactionalupdates2/.

Asennusohjelma ehdottaa osiointisuunnitelmaa vain, jos kiintolevytilaa on yli 12 Gt. Jos esimerkiksi haluat luoda hyvin pienen virtuaalikonekuvan, hienosäädä osiointiparametrit käyttämällä ohjattua osiointia.

Ennen openSUSEn asennusta kannattaa koneissa, jotka UEFIlla (Unified Extensible Firmware Interface) käynnistyvissä koneissa varmistaa, tarjoaako laitevalmistaja päivityksiä, ja jos on, asentaa ne. Esiasennettu Windows 8 riittää todisteeksi siitä, että kone käynnistyy UEFIlla.

Taustaa: Joissakin UEFI-laiteohjelmiston versioissa on virhe, joka aiheuttaa niiden rikkoutumisen, jos UEFI-tallennusalueelle kirjoitetaan liikaa tietoa. Kukaan ei kuitenkaan tiedä, paljonko on ”liikaa”.

openSUSE minimoi riskin kirjoittamalla vain juuri sen, mitä käyttöjärjestelmän käynnistämiseen vaaditaan. Tämä tarkoittaa, että UEFI-laiteohjelmistolle kerrotaan vain openSUSE-käynnistyslataimen sijainti. Ylävirran Linux-ydinten piirre, joka käyttää UEFIn tallennusaluetta käynnistys- ja kaatumistietojen tallentamiseen (pstore) on oletuksena poistettu käytöstä. On kuitenkin suositeltavaa asentaa kaikki laitevalmistajan suosittelemat laiteohjelmistopäivitykset.

EFI/UEFI-määrityksen myötä saapui uusi osiointitapa: GPT (GUID-osiotaulukko). Uusi malli käyttää ainutkertaisia yleistunnisteita (128-bittisiä arvoja, jotka esitetään 32 heksadesimaalilukuna) laitteiden ja osiotyyppien tunnisteina.

UEFI-määritelmä hyväksyy myös vanhat MBR- eli MS-DOS-osiot. Linuxin käynnistyslataimet (ELILO ja GRUB2) yrittävät automaattisesti luoda näille osioille GUIDit ja kirjoittaa ne laiteohjelmistoon. Tällaiset GUIDit voivat ajoittain muuttua, jolloin laiteohjelmistoon pitää taas kirjoittaa. Tämä tapahtuu kahdessa vaiheessa: ensin vanha tietue poistetaan ja sitten uusi, sen korvaava tietue luodaan.

Uusiin laiteohjelmistoihin kuuluu roskienkeruu, joka kokoaa poistetut tietueet ja vapauttaa niiden varaaman muistin. Ongelmia seuraa, jos virheellinen laiteohjelmisto ei tee tätä: tällöin seurauksena voi olla käynnistyskelvoton järjestelmä.

Kiertääksesi ongelman muunna vanha MBR-osio GPT:ksi.

During installation on a laptop, the tlp package is installed (together with its sub-package tlp-rdw, if the installation of recommended packages is enabled). This package provides additional tools to save battery power on laptops, especially Lenovo laptops.

The service is not enabled by default because it might interfere with other specialized laptop tools, for example, laptop-mode-tools, rfkill, gnome-power-manager, or kde-power-manager. To enable and start the service explicitly, use YaST Services Manager or use the command systemctl enable --now tlp.service . If you encounter any unexpected behavior afterward, for example, WiFi problems or non-functional USB ports, disable the service again.

openSUSE Leap 15.3 on vasta koostettu SUSE Linux Enterprise Serverin binaari-RPM:istä. Muutos esiteltiin osana Closing the Leap Gap -suunnitelmaa (CtLG), jolla openSUSE Leap ja SUSE Linux Enterprise Server tuodaan lähemmäs toisiaan.

Toisin kuin 15.2:n, openSUSE Leap 15.3:n oletusasennuksen RPM:t ovat valtaosin SUSE Linux Enterprise Serveristä. Nämä RPM:t on allekirjoittanut SUSE LLC openSUSE-avaimen sijaan. libzypp-paketin versio 12.25.8 esitteli hyväksyntäluettelon SUSE LLC:n ja openSUSEn väliselle toimittajavaihdokselle saumattoman siirtymisen mahdollistamiseksi. Hyväksyntäluettelo poistaa tarpeen --allow-vendor-change-valitsimelle openSUSE- ja SUSE LLC -toimittajavaihdosten osalta. --allow-vendor-change on yhä annettava siirtymisen aikana, jos käytössä on muilla avaimilla allekirjoitettuja OBS-lähteitä.

openSUSE Leap releases older than 15.2 do not contain this feature because they are not supported anymore. All users are advised to upgrade to openSUSE Leap 15.2 with the latest updates before upgrading to 15.3. The following parameters can be used as a workaround for libzypp versions older than 12.25.8 (replace 15.0 below with your current openSUSE version):

zypper addrepo --check --refresh --name 'openSUSE-Leap-15.0-Update' http://download.opensuse.org/update/leap/15.0/oss/ repo-update
zypper dup --allow-vendor-change --force-resolution

openSUSE Leap 15.3 tarjoaa kaikki vaaditut RPM-todennusavaimet, myös SUSE Linux Enterprise Serverin, osana openSUSE-build-key-pakettia. Kaikki avaimet ovat myös heti saatavilla OSS-asennuslähteestä.

libzypp-paketin version 17.25.11 tulisi automaattisesti tuoda vaaditut luotetuiksi merkityt avaimet. Jos näin tapahtuu, tuonnista tulee ilmoitus eikä muuta tarvitse tehdä.

Ellei järjestelmä ole tuonut repodatan allekirjoittamiseen käytettyä avainta, käyttäjän on tuotava se. Tilanteen voi tarkistaa komennolla:

rpm -qa gpg-pubkey

Tulosteessa tulisi olla rivi, joka alkaa tekstillä: gpg-pubkey-39db7c82-*. Ellei näin ole, avaimen voi tuoda itse näin:

Lisätietoa: https://bugzilla.opensuse.org/show_bug.cgi?id=1184326.

openSUSE Leapissä oletusydin on jaettu kolmeksi alipaketiksi: kernel-default, kernel-default-extra ja kernel-default-optional. Samoin kernel-preempt on jaettu alipaketeiksi kernel-preempt, kernel-preempt-extra ja kernel-preempt-optional. -optional-paketti sisältää valinnaisia moduuleja vain openSUSE Leapille. -extra-paketti sisältää ei-tuettuja moduuleja. Ytimen ennakointitilan voi asettaa komentoriviparametrilla preempt=voluntary. Parametri toimii paketille kernel-default.

Jos käytät tätä ydinmuunnelmaa, varmista, että kaikki käyttötapasi mukaiset RPM:t on asennettu.

Vanhentuneet paketit toimitetaan yhä jakelun osana, mutta ne on merkitty poistettaviksi openSUSE Leapin seuraavassa versiossa. Paketit auttavat siirtämisessä, mutta niitä ei tulisi käyttää eivätkä ne saa päivityksiä.

Tarkistaaksesi, ylläpidetäänkö asennettuja paketteja, varmista että lifecycle-data-openSUSE on asennettu ja käytä komentoa:

zypper lifecycle

Poistettuja paketteja ei enää toimiteta julkaisun osana.

Vasta esiteltyä openSUSE-signkey-cert-pakettia vaaditaan openSUSEn KMP:ihin kuten virtualbox mutta ainoastaan Secure Boot -tilassa. Paketti sisältää openSUSEn allekirjoitusavaimen varmenteen ydinmoduulitiedostojen (.ko) allekirjoitettamiseksi openSUSE KMP:ssä, ja se kutsuu mokutil-ohjelmaa auttamaan käyttäjään tuomaan varmenteen MOK:hon. Näin ydin voi tarkistaa openSUSEn KMP:n.

Ellei pohjakuviota ole asennettu ja käytössä on jokin näistä KMP:istä, käyttäjää suositellaan asentamaan openSUSE-signkey-cert käsin. Järjestelmä pitää käynnistää uudelleen. Lisätietoa toimenpiteistä ja käyttöönotosta on osoitteessa https://en.opensuse.org/SDB:NVIDIA_drivers#Secureboot.

openSUSE Leap 15.2 ja myöhemmät tarkistavat nyt kolmannen osapuolen ajureilta ydinmoduulin allekirjoituksen (CONFIG_MODULE_SIG=y). Tämä on tärkeä turvatoimi, jolla estetään epäluotettavan koodin ajaminen ytimessä.

Tämä voi estää kolmannen osapuolen moduuleja latautumasta, kun UEFIn secure boot on käytössä. Ydinmoduulipaketteihin (KMP) openSUSEn virallisista lähteistä tällä ei ole vaikutusta, koska niiden sisältämät moduulit on allekirjoitettu openSUSEn avaimella. Allekirjoitus toimii seuraavalla tapaa:

On mahdollista luoda mukautettu varmenne, rekisteröidä se järjestelmän MOK-tietokantaa (Machine Owner Key) ja allekirjoittaa paikallisesti käännetyt ydinmoduulit tämän varmenteen avaimella. Näin allekirjoitettuja moduuleja ei estetä eivätkä ne aiheuta varoituksia. Ks. https://en.opensuse.org/openSUSE:UEFI.

Since this also affects NVIDIA graphics drivers, we addressed this in our official packages for openSUSE. However, you need to manually enroll a new MOK key after installation to make the new packages work. For instructions how to install the drivers and enroll the MOK key, see https://en.opensuse.org/SDB:NVIDIA_drivers#Secureboot.

KDE 4 -paketit eivät enää kuulu openSUSE Leap 15.3:een. Päivitä järjestelmä Plasma 5:een ja Qt5:een. Joitakin Qt4-paketteja voi yhä olla yhteensopivuussyistä. Lisätietoa: https://bugzilla.opensuse.org/show_bug.cgi?id=1179613.

Koska IBusin versio 1.5.23 muutti joiden näppäimistöasettelujen nimiä, päivityksen jälkeen nimeään muuttaneita asetteluja sisältäviä asetuksia ei voi ladata. Asetteluksi voi tällöin palata US. Tämä koskee seuraavien kielten asetteluja: belgialainen, saksa, kreikka, romania, slovakki. Lisätietoa: https://bugzilla.opensuse.org/show_bug.cgi?id=1177545.

Käyttäjien on siirrettävä asetukset käsin. Avaa GNOMEn asetukset ja valitse haluttu asettelu. Muissa työpöytäympäristöissä kuin GNOMEssa voi käyttää ibus-setup-ohjelmaa.