Uitgavenotities #

De opzet voor onderhoud van openSUSE Leap 15.3 bestaat uit drie hoofd opslagruimten voor bijwerken. Dit zijn: repo-update, repo-backports-update en repo-sle-update. De laatste twee zijn nieuw en zijn het resultaat van opnieuw gebruiken van binaire programma's uit SUSE Linux Enterprise. Deze opslagruimten zijn beschikbaar en gecontroleerd tijdens de online installatie van openSUSE Leap. We bevelen u aan ze te gebruiken. Nieuwe definities van opslagruimten voor bijwerken voor openSUSE Leap 15.3 zullen als extra geleverd worden via een 0day bijwerken voor onderhoud van het pakket openSUSE-release. Het element voor bijwerken zal geleverd worden via het traditionele repo-update onderhoudskanaal. Het zal een speciale bijwerkvlag bevatten die betekent dat het het softwarebeheergebied beïnvloed wat dan speciaal behandeld wordt door zypper. U zou het gebruik van commando zypper up dubbel moeten controleren of alle elementen voor bijwerken zijn verwerkt. Voor meer informatie, zie https://bugzilla.opensuse.org/show_bug.cgi?id=1186593.

De opslagruimte repo-update is voor het bijwerken van openSUSE Leap (OSS). Het is de kleinste en bevat pakketten voor systeemconfiguratie, inclusief uitgavepakket, branding,en potentiele afsplitsingen van SUSE Linux Enterprise pakketten. Deze opslagruimte heeft ook een variant debug-info.

De opslagruimte repo-backports-update is een opslagruimte voor bijwerken voor openSUSE Backports die elementen voor bijwerken bevat voor de meerderheid van openSUSE Leap pakketten. Deze opslagruimte heeft ook een variant debug-info.

De derde opslagruimte, genaamd repo-sle-update, is een opslagruimte voor bijwerken die gecombineerde elementen voor bijwerken bevat van alle actieve SUSE Linux Enterprise bijwerkstreams. Deze opslagruimte heeft geen variant debug-info.

Het installatieprogramma ondersteunt de systeemrol Transactionele server. Deze systeemrol levert een nieuw systeem voor bijwerken dat het bijwerken atomisch (als een enkele bewerking) toepast en het gemakkelijker maakt ze terug te draaien als dat noodzakelijk wordt. Deze functies zijn gebaseerd op de hulpmiddelen voor pakketbeheer waar alle andere SUSE en openSUSE distributies ook van afhankelijk zijn. Dit betekent dat de grootste hoeveelheid RPM-pakketten die werken met andere systeemrollen van openSUSE Leap 15.3 ook werken met de systeemrol Transactionele server.

Opmerking: Incompatibele pakketten

Sommige pakketten modificeren de inhoud van /var of /srv in hun RPM %post scripts. Deze pakketten zijn incompatibel. Als u op zo'n pakket stuit, stuur dan een bugrapport.

Om deze functies te leveren, hangt dit systeem voor bijwerken af van:

Belangrijk: Transactionele server heeft minstens 12 GB schijfruimte nodig

De systeemrol Transactionele server heeft minstens 12 GB nodig om Btrfs snapshots te kunnen bevatten.

Belangrijk: YaST werkt niet in modus Transactioneel

Op dit moment werkt YaST niet met transactioneel bijwerken. Dit is omdat YaST zaken onmiddellijk uitvoert en omdat het geen alleen-lezen bestandssysteem kan bewerken.

Om te werken met transactioneel bijwerken, moet u altijd het commando transactional-update gebruiken in plaats van YaST en Zypper voor alle beheer van software:

Bij gebruik van deze systeemrol zal het systeem standaard dagelijks zichzelf bijwerken en opnieuw opstarten tussen 03:30 uur en 05:00 uur. Beide acties zijn gebaseerd op systemd en kan, indien nodig, uitgeschakeld worden met systemctl:

systemctl disable --now transactional-update.timer rebootmgr.service

Voor meer informatie over transactioneel bijwerken, zie de openSUSE Kubic blog posts https://kubic.opensuse.org/blog/2018-04-04-transactionalupdates/ en https://kubic.opensuse.org/blog/2018-04-20-transactionalupdates2/.

Het installatieprogramma zal alleen een partitioneringsschema voorstellen als de beschikbare grootte op de vaste schijf groter is dan 12 GB. Als u het wilt opzetten, bijvoorbeeld, op erg kleine images van virtuele machines, gebruik dan het begeleide partitioneringsprogramma om partitioneringsparameters handmatig in te stellen.

Alvorens openSUSE te installeren op een systeem dat opstart met UEFI (Unified Extensible Firmware Interface), wordt u dringend aangeraden om te controleren op firmware-updates aanbevolen door de maker van de hardware en, indien beschikbaar, zo'n update te installeren. Een vooraf geïnstalleerde Windows 8 of later is een sterke aanwijzing dat uw systeem opstart met UEFI.

Achtergrond: Sommige UEFI-firmware heeft bugs die het laten breken als te veel gegevens naar het opslaggebied van UEFI worden geschreven. Er zijn echter geen heldere gegevens over hoeveel "te veel" is.

openSUSE minimaliseert het risico door niet meer weg te schrijven dan het noodzakelijke minimum nodig om het besturingssysteem op te starten. Het minimum betekent het aan de UEFI-firmware vertellen van de locatie van de openSUSE-bootloader. Bovenstroomse functies van de Linux-kernel, die het UEFI-opslaggebied gebruikt voor opslag van opstart- en crashinformatie (pstore), zijn standaard uitgeschakeld. Niettemin is het aanbevolen om elke firmware-update die de maker van de hardware aanbeveelt, uit te voeren.

Samen met de EFI/UEFI-specificaties is er een nieuwe manier van partities maken gekomen: GPT (GUID Partition Table). Dit nieuwe schema gebruikt globaal unieke identifiers (128-bit waarden getoond in 32 hexadecimale tekens) om apparaten en typen partities te identificeren.

Bovendien staat de UEFI-specificatie ook verouderde MBR (MS-DOS)-partities toe. De Linux-bootloaders (ELILO of GRUB2) proberen automatisch een GUID voor deze ouderwetse partities aan te maken en schrijven ze naar de firmware. Zo'n GUID kan frequent wijzigen, wat opnieuw schrijven in de firmware veroorzaakt. Herschrijven bestaat uit twee verschillende bewerkingen: verwijderen van het oude item en aanmaken van een nieuw item dat de eerste vervangt.

Moderne firmware heeft een garbage-collector die verwijderde items verzameld en het voor oude items gereserveerde geheugen vrijmaakt. Er ontstaat een probleem wanneer defecte firmware dit niet verzamelt en deze items niet vrijmaakt; dit kan eindigen met een systeem dat niet opgestart kan worden.

Er omheen werken is eenvoudig: converteer de verouderde MBR-partitie naar GPT.

Tijdens het installeren op een laptop wordt het tlp pakket geïnstalleerd (samen met zijn subpakket tlp-rdw, als de installatie van aanbevolen pakketten is ingeschakeld). Dit pakket levert additionele hulpmiddelen om batterij-energie op laptops te sparen, speciaal voor Lenovo laptops.

De service is niet standaard ingeschakeld omdat het kan interfereren met andere gespecialiseerde laptophulpmiddelen, bijvoolbeeld, laptop-mode-tools, rfkill, gnome-power-manager of kde-power-manager. Om de service expliciet in te schakelen en te starten, gebruik YaST servicebeheer of gebruik het commando systemctl enable --now tlp.service . Als u daarna onverwacht gedrag tegenkomt, bijvoorbeeld, WiFi problemen of niet-functionele USB poorten, schakel de service dan weer uit.

openSUSE Leap 15.3 is nieuw gebouwd bovenop binaire rpms uit de SUSE Linux Enterprise Server. Deze wijziging is geïntroduceerd als onderdeel van de inspanning Closing The Leap Gap (CtLG) om openSUSE Leap en SUSE Linux Enterprise Server dichter bij elkaar te brengen.

Anders dan 15.2 bevat de standaard installatie van openSUSE Leap 15.3 de meerderheid van rpms uit SUSE Linux Enterprise Server. Deze rpm's zijn ondertekend door SUSE LLC in plaats van de openSUSE sleutel. Het pakket libzypp versie 12.25.8 introduceert een witte lijst voor uitwisseling tussen de leveranciers SUSE LLC en openSUSE om naadloze migratie toe te staan. Deze witte lijst verwijdert de noodzaak om --allow-vendor-change voor leverancier openSUSE en SUSE LLC te specificeren alleen voor dezen. U zou nog steeds --allow-vendor-change tijdens de migratie moeten specificeren als u OBS opslagruimten ondertekend met andere sleutels gebruikt.

openSUSE Leap uitgaven ouder dan 15.2 bevatten deze functie niet omdat ze niet langer worden ondersteund. Alle gebruikers worden geadviseerd om op te waarderen naar openSUSE Leap 15.2 met de laatste updates alvorens op te waarderen naar 15.3. De volgende parameters kunnen gebruikt worden als een omweg voor versies van libzypp ouder dan 12.25.8 (vervang het onderstaande 15.0 door uw huidige versie van openSUSE):

zypper addrepo --check --refresh --name 'openSUSE-Leap-15.0-Update' http://download.opensuse.org/update/leap/15.0/oss/ repo-update
zypper dup --allow-vendor-change --force-resolution

openSUSE Leap 15.3 levert alle vereiste RPM verificatiesleutels, inclusief die van de SUSE Linux Enterprise Server, als onderdell van het pakket openSUSE-build-key. Alle sleutels zijn ook nieuw beschikbaar in de OSS opslagruimte.

De libzypp pakketversie 17.25.11 zou automatisch de vereiste sleutels moeten importeren die geïdentificeerd zijn als vertrouwd. Als het is gedaan, zult u een melding krijgen over het importeren en zal er geen andere actie nodig zijn.

Als het systeem de sleutel nietheeft geïmporteerd die gebruikt was om de repodata te ondertekenen, dan moet u deze handmatig importeren. U kunt dat controleren door het volgende commando uit te voeren:

rpm -qa gpg-pubkey

De uitvoer zou een tegel moeten bevatten die begint met de volgende tekst: gpg-pubkey-39db7c82-* zo niet, doe het volgende om de sleutel handmatig te importeren:

Voor meer informatie, zie https://bugzilla.opensuse.org/show_bug.cgi?id=1184326.

Op openSUSE Leap is de standaard kernel gesplitst in drie subpakketten: kernel-default, kernel-default-extra en kernel-default-optional. Evenzo is kernel-preempt ook gesplitst in kernel-preempt, kernel-preempt-extra en kernel-preempt-optional. Het -optional pakket bevat optionele modules alleen voor openSUSE Leap. Het -extra pakket bevat niet ondersteunde modules. De kernel preemption-modus kan bestuurd worden door instelling van de kernelparameter preempt=voluntary op de opdrachtregel. Deze parameter werkt met kernel-default.

Als u deze kernel-variant gebruikt, ga na dat alle vereiste RPM's voor uw gebruik geïnstalleerd zijn.

Verouderde pakketten worden nog steeds geleverd als onderdeel van de distributie maar zijn gepland om verwijderd te worden in de volgende versie van openSUSE Leap. Deze pakketten bestaan om migratie te ondersteunen, maar hun gebruik wordt ontmoedigd en ze worden mogelijk niet bijgewerkt.

Om te controleren of geïnstalleerde pakketten niet langer worden onderhouden: ga na dat lifecycle-data-openSUSE is geïnstalleerd, gebruik daarna het commando:

zypper lifecycle

Verwijderde pakketten worden niet langer meer geleverd als onderdeel van de distributie.

Het nieuw geïntroduceerde pakket openSUSE-signkey-cert is vereist voor openSUSE KMP's zoals virtualbox, maar alleen in modus Veilig opstarten. Het pakket bevat het certificaat van de openSUSE ondertekeningssleutel voor ondertekenen van het kernelmodulebestand (.ko) in openSUSE KMP en roept mokutil op om de gebruiker te helpen het certificaat in de MOK aan te brenegen. Op deze manier kan de openSUSE KMP geverifieerd worden door de kernel.

Als u het basispatroon niet hebt geïnstalleerd en een van deze KMP's gebruikt, dan bevelen we het handmatig installeren van het pakket openSUSE-signkey-cert aan. Het opnieuw opstarten van het systeem is vereist. Meer informatie over dit proces en handmatig aanbrengen is te vinden op https://en.opensuse.org/SDB:NVIDIA_drivers#Secureboot.

openSUSE Leap 15.2 en later schakelt nu een controle op ondertekening in door een kernelmodule voor stuurprogramma's van derden (CONFIG_MODULE_SIG=y). Dit is een belangrijke beveiligingsmaatregel om niet vertrouwde code in de kernel uit te voeren.

Dit kan voorkomen dat kernelmodules geladen worden als UEFI Secure Boot is ingeschakeld. Kernel Module Packages (KMP's) uit de officiële openSUSE opslagruimten zijn niet aangetast, omdat de modules die ze bevatten getekend zijn met de openSUSE sleutel. De controle op ondertekening toont het volgende gegrag:

Het is mogelijk om een eigen certificaat te genereren, het in te voeren in de Machine Owner Key (MOK) database van het systeem en lokaal gecompileerde kernelmodules te ondertekenen met deze certificaatsleutel. Modules die op deze manier zijn ondertekend zullen nooit geblokkeerd worden of waarschuwingen veroorzaken. Zie https://en.opensuse.org/openSUSE:UEFI.

Omdat dit ook gevolgen heeft voor NVIDIA grafische stuurprogramma's, maken we dit bekend in onze officiële pakketten voor openSUSE. U moet echter handmatig een nieuwe MOK-sleutel aanbrengen na installatie om de nieuwe pakketten te laten werken. Voor instructies hoe de stuurprogramma's te installeren en de MOK-sleutel aan te brengen, zie https://en.opensuse.org/SDB:NVIDIA_drivers#Secureboot.

KDE 4 pakketten zijn niet langer onderdeel van openSUSE Leap 15.3. Werk uw systeem bij tot Plasma 5 en Qt 5. Sommige Qt 4 pakketten kunnen nog steeds blijven voor redenen van compatibiliteit. Voor meer informatie, zie https://bugzilla.opensuse.org/show_bug.cgi?id=1179613.

Omdat IBus versie 1.5.23 sommige toetsenbordindelingen heeft hernoemd, kan het een configuratie met deze hernoemde indelingen na opwaardering niet laden. Het kan daarbij de indeling naar US resetten. Indelingen van de volgende talen zijn betrokken: Belgisch, Duits, Grieks, Roemeens en Slovaaks. Zie https://bugzilla.opensuse.org/show_bug.cgi?id=1177545 voor meer informatie.

Gebruikers moeten de configuratie handmatig migreren. Open GNOME instellingen en kies een toepasselijke indeling. Voor bureabladomgevingen anders dan GNOME, voer in plaats daarvan uit ibus-setup.