Poznámky k vydaniu #

Nastavenie údržby openSUSE Leap 15.3 sa skladá z troch hlavných aktualizačných repozitárov. Tie sú: repo-update, repo-backports-update a repo-sle-update. Posledné dva menované sú nové a sú výsledkom opätovného použitia binárnych súborov zo SUSE Linux Enterprise. Tieto repozitáre sú dostupné a kontrolované počas online inštalácie openSUSE Leap. Odporúčame vám ich použiť. Nové definície aktualizačných repozitárov pre openSUSE Leap 15.3 budú dodatočne poskytnuté cez 0day údržbovú aktualizáciu balíka openSUSE-release. Aktualizácia sa uskutoční prostredníctvom tradičného kanála údržby repo-update. Bude mať špeciálny aktualizačný príznak, čo znamená, že sa dotkne oblasti správy softvéru, ktorú má potom špeciálne na starosti zypper. Mali by ste pomocou príkazu zypper up prekontrolovať, či boli spracované všetky aktualizácie. Viac informácií nájdete na https://bugzilla.opensuse.org/show_bug.cgi?id=1186593.

Repozitár repo-update je pre aktualizácie openSUSE Leap (OSS). Je najmenší a obsahuje systémové konfiguračné balíky vrátane balíkov vydaní, budovania značky a potenciálnych vetiev balíkov SUSE Linux Enterprise. Tento repozitár má aj variant debug-info.

Repozitár repo-backports-update je aktualizačný repozitár pre openSUSE Backports, ktorý obsahuje aktualizácie pre väčšinu balíkov openSUSE Leap. Tento repozitár má aj variant debug-info.

Tretí repozitár s názvom repo-sle-update je aktualizačný repozitár, ktorý obsahuje kombinované aktualizácie zo všetkých aktívnych aktualizačných prúdov SUSE Linux Enterprise. Tento repozitár je bez variantu debug-info.

Inštalátor podporuje systémovú rolu Transakčný server. Táto systémová rola obsahuje aktualizačný systém, ktorý aplikuje aktualizácie atomicky (ako jedna operácia) a umožňuje ľahko sa vrátiť, ak to bude potrebné. Tieto funkcie sú založené na nástrojoch na správu balíkov, na ktoré sa tiež spoliehajú všetky ostatné distribúcie SUSE a openSUSE. To znamená, že drvivá väčšina balíkov RPM, ktoré pracujú s inými systémovými rolami openSUSE Leap 15.3, pracujú aj so systémovou rolou Transakčný server.

PoznámkaNekompatibilné balíky

Niektoré balíky upravujú obsah súboru /var alebo /srv vo svojich RPM %post skriptoch. Tieto balíky nie sú kompatibilné. Ak nájdete takýto balík, podajte správu o chybe.

Na poskytovanie týchto funkcií sa tento systém aktualizácií spolieha na:

DôležitéTransakčný server Vyžaduje najmenej 12 GB miesta na disku

Systémová rola Transakčný server potrebuje veľkosť disku najmenej 12 GB na prijatie snímok Btrfs.

DôležitéYaST nefunguje v transakčnom režime

V súčasnosti YaST nepracuje s transakčnými aktualizáciami. Je to preto, že YaST vykonáva veci okamžite a pretože nemôže upravovať súborový systém, ktorý je len čítanie.

Ak chcete pracovať s transakčnými aktualizáciami, vždy použite príkaz transactional-update namiesto YaST a Zypper pre celú správu softvéru:

Pri používaní tejto systémovej roly systém v predvolenom nastavení vykoná dennú aktualizáciu a reštartuje sa medzi 03:30 a 05:00. Obe tieto akcie sú založené na systemd a v prípade potreby môžu byť zakázané pomocou systemctl:

systemctl disable --now transactional-update.timer rebootmgr.service

Viac informácií o transakčných aktualizáciách nájdete v príspevkoch blogu openSUSE Kubic https://kubic.opensuse.org/blog/2018-04-04-transactionalupdates/ a https://kubic.opensuse.org/blog/2018-04-20-transactionalupdates2/.

Inštalátor navrhne schému rozdelenia disku iba vtedy, ak je dostupná veľkosť pevného disku väčšia ako 12 GB. Ak chcete nastaviť napríklad veľmi malé obrazy virtuálnych strojov, použite sprevádzané rozdelenie disku na vyladenie parametrov rozdelenia ručne.

Pred inštaláciou openSUSE na systéme, ktorý sa zavádza pomocou UEFI (Unified Extensible Firmware Interface), odporúča sa skontrolovať akékoľvek aktualizácie firmvéru, ktoré odporúča dodávateľ hardvéru a, ak sú k dispozícii, inštalácia takýchto aktualizácií. Predinštalácia Windows 8 alebo novšieho systému je silným náznakom, že váš systém štartuje pomocou UEFI.

Pozadie: Niektoré firmvéry UEFI obsahujú chyby, ktoré spôsobujú nefunkčnosť, ak je zapísaných do úložného priestoru UEFI príliš veľa dát. Nikto v skutočnosti nevie, koľko je to “príliš veľa”.

openSUSE znižuje riziko tým, že nezapisuje viac než základné minimum potrebné pre štart OS. Toto minimum znamená oznámenie pre firmware UEFI, kde se nachádza správca štartu openSUSE. Upstream funkcie jadra Linuxu, ktoré používajú úložný priestor UEFI pre uloženie informácií o štarte systému a jeho zrútení (pstore) boli v predvolenom nastavení zakázané. Napriek tomu je doporučené nainštalovať každú aktualizáciu pre firmware, ktorú výrobca odporúča.

Spolu so špecifikáciou UEFI/EFI prišiel nový štýl rozdelenia diskov: GPT (GUID Partition Table). Táto nová schéma používa globálne jedinečné identifikátory (128-bitové hodnoty zobrazené ako 32 hexadecimálnych číslic) pre identifikáciu zariadenia a typov oddielov.

Okrem toho špecifikácia UEFI tiež umožňuje štandardné MBR (MS-DOS) oddiely. Linuxoví správcovia štartu (ELILO alebo GRUB2) skúšajú automaticky generovať GUID pre tieto staršie oddiely a zapísať ich do firmware. Takýto GUID sa môže často meniť, čo spôsobuje prepísanie firmvéru. Prepis sa skladá z dvoch rôznych operácií: odstránenie starého záznamu a vytvorenie nového, ktorý nahradí pôvodný.

Moderný firmware má garbage collector, ktorý zhromažďuje vymazané záznamy a uvoľňuje pamäť vyhradenú pre staré záznamy. Problém nastáva, keď chybný firmware nezhromažďuje a neuvoľňuje záznamy; môže to skončiť s nespustiteľným systémom.

Ak chcete tento problém vyriešiť, zmeňte starší MBR diskový oddiel na GPT.

Počas inštalácie na prenosný počítač sa nainštaluje balík tlp (spolu s jeho podbalíkom tlp-rdw, ak je povolená inštalácia odporúčaných balíkov). Tento balík poskytuje dodatočné nástroje na úsporu energie batérie v prenosných počítačoch, najmä v prenosných počítačoch Lenovo.

Služba nie je v predvolenom nastavení povolená, pretože by mohla napríklad kolidovať s inými špecializovanými nástrojmi pre prenosné počítače, napíklad laptop-mode-tools, rfkill, gnome-power-manager alebo kde-power-manager. Ak chcete službu explicitne povoliť a spustiť, použite Správcu služieb YaST alebo príkaz systemctl enable --now tlp.service . Ak sa potom vyskytne neočakávané správanie, napríklad problémy s WiFi alebo nefunkčné porty USB, službu znova zakážte.

openSUSE Leap 15.3 je novo postavené na binárnych balíkoch rpm zo SUSE Linux Enterprise Server. Táto zmena bola zavedená ako súčasť úsilia Closing The Leap Gap (CtLG) priblížiť openSUSE Leap a SUSE Linux Enterprise Server bližšie k sebe.

Na rozdiel od verzie 15.2 obsahuje predvolená inštalácia openSUSE Leap 15.3 väčšinu balíkov rpms zo SUSE Linux Enterprise Server. Tieto balíky rpm sú podpísané od SUSE LLC namiesto použitia kľúča openSUSE. Verzia 12.25.8 balíka libzypp zaviedla zoznam povolených pre výmena dodávateľov SUSE LLC a openSUSE, ktorá umožňuje bezproblémovú migráciu. Tento zoznam povolených odstraňuje potrebu špecifikovať --allow-vendor-change iba pre výmena dodávateľov openSUSE a SUSE LLC. Možno budete stále musieť špecifikovať --allow-vendor-change počas migrácie, ak používate repozitáre OBS podpísané inými kľúčmi.

Vydania openSUSE Leap staršie ako 15.2 túto funkciu neobsahujú, pretože už nie sú podporované. Všetkým používateľom sa odporúča povýšiť na openSUSE Leap 15.2 s najnovšími aktualizáciami pred zvýšením verzie na 15.3. Nasledujúce parametre možno použiť ako riešenie pre verzie libzypp staršie ako 12.25.8 (nižšie uvedenú verziu 15.0 nahraďte svojou aktuálnou verziou openSUSE):

zypper addrepo --check --refresh --name 'openSUSE-Leap-15.0-Update' http://download.opensuse.org/update/leap/15.0/oss/ repo-update
zypper dup --allow-vendor-change --force-resolution

openSUSE Leap 15.3 poskytuje všetky požadované overovacie kľúče RPM, vrátane tých pre SUSE Linux Enterprise Server, ako súčasť balíka openSUSE-build-key. Všetky kľúče sú tiež novo dostupné v repozitári OSS.

Verzia 17.25.11 balíka libzypp by mala automaticky importovať požadované kľúče, ktoré sú označené ako dôveryhodné. Ak ich má, budete o importe informovaní a nebudú potrebné žiadne ďalšie kroky.

Ak systém neimportoval kľúč, ktorý bol použitý na podpísanie repodata, budete ho musieť importovať ručne. Môžete to skontrolovať spustením nasledujúceho príkazu:

rpm -qa gpg-pubkey

Výstup by mal obsahovať riadok začínajúci nasledujúcim textom: gpg-pubkey-39db7c82-*. Ak sa tak nestane, potom urobte nasledovné, aby ste kľúč importovali ručne:

Viac informácií nájdete na https://bugzilla.opensuse.org/show_bug.cgi?id=1184326.

Na openSUSE Leap bolo predvolené jadro rozdelené do troch čiastkových balíkov: kernel-default, kernel-default-extra a kernel-default-optional. Podobne bol tiež kernel-preempt rozdelený do kernel-preempt, kernel-preempt-extra a kernel-preempt-optional. Balík -optional obsahuje voliteľné moduly iba pre openSUSE Leap. Balík -extra obsahuje nepodporované moduly. Režim jadra preemption je možné ovládať nastavením parametra jadra preempt=voluntary na príkazovom riadku. Tento parameter funguje s kernel-default.

Ak používate tento variant jadra, uistite sa, že sú nainštalované všetky RPM potrebné pre váš prípad použitia.

Zastarané balíky sú stále dodávané ako súčasť distribúcie, ale je naplánované, že budú odstránené ďalšou verziou openSUSE Leap. Tieto balíky existujú na podporu migrácie, ale odrádza sa ich použitie a nemusia dostávať aktualizácie.

Ak chcete skontrolovať, či už nie sú nainštalované balíky udržiavané: Uistite sa, že je nainštalovaný lifecycle-data-openSUSE a potom použite príkaz:

životný cyklus zypper

Odstránené balíky už nie sú dodávané ako súčasť distribúcie.

Novo zavedený balík openSUSE-signkey-cert sa vyžaduje pre openSUSE KMP ako napríklad virtualbox, ale iba v režime Secure Boot. Balík obsahuje certifikát podpisového kľúča openSUSE na podpisovanie súboru modulov jadra (.ko) v openSUSE KMP a volá mokutil na pomoc používateľovi zapísať certifikát do MOK. Týmto spôsobom môže byť openSUSE KMP overené jadrom.

Ak nemáte nainštalovanú základnú šablónu a používate niektorý z týchto KMP, odporúčame vám balík openSUSE-signkey-cert nainštalovať ručne. Vyžaduje sa reštart systému. Viac informácií o tomto procese a ručnom zapísaní nájdete na https://en.opensuse.org/SDB:NVIDIA_drivers#Secureboot.

openSUSE Leap 15.2 a novšie povoľujú kontrolu podpisov modulov jadra pre ovládače tretích strán (CONFIG_MODULE_SIG=y). Toto je dôležité bezpečnostné opatrenie, aby sa zabránilo spusteniu nedôveryhodného kódu v jadre.

Ak je povolený UEFI Secure Boot, môže to zabrániť načítaniu modulov jadra tretích strán. Balíky modulov jadra (Kernel Module Packages, KMPs) z oficiálnych repozitárov openSUSE nie sú ovplyvnené, pretože moduly, ktoré obsahujú, sú podpísané kľúčom openSUSE. Kontrola podpisu má nasledujúce správanie:

Je možné vygenerovať vlastný certifikát, zapísať ho do systémovej databázy Machine Owner Key (MOK) a podpísať lokálne skompilované moduly jadra s týmto certifikačným kľúčom. Moduly podpísané týmto spôsobom nebudú zablokované ani nevyvolajú varovania. Pozrite si https://en.opensuse.org/openSUSE:UEFI.

Pretože to tiež ovplyvňuje grafické ovládače NVIDIA, riešili sme to v našich oficiálnych balíkoch pre openSUSE. Po inštalácii však musíte manuálne zapísať nový kľúč MOK, aby nové balíky fungovali. Pokyny ako nainštalovať ovládače a zapísať kľúč MOK nájdete v https://en.opensuse.org/SDB:NVIDIA_drivers#Secureboot.

Balíky KDE 4 už nie sú súčasťou openSUSE Leap 15.3. Aktualizujte svoj systém na Plasma 5 a Qt 5. Niektoré balíky Qt 4 môžu stále zostať z dôvodu kompatibility. Viac informácií nájdete na https://bugzilla.opensuse.org/show_bug.cgi?id=1179613.

Pretože verzia IBus 1.5.23 premenovala niektoré rozloženia klávesníc, po zvýšení verzie nedokáže načítať konfiguráciu obsahujúcu tieto premenované rozloženia. Týmto by sa mohlo rozloženie vynulovať na USA. Ovplyvnené sú rozloženia nasledujúcich jazykov: belgický, nemecký, grécky, rumunský a slovenský. Viac informácií nájdete na https://bugzilla.opensuse.org/show_bug.cgi?id=1177545.

Používatelia musia migrovať konfiguráciu ručne. Otvorte nastavenia GNOME a zvoľte príslušné rozloženie. Pre desktopové prostredia iné ako GNOME spustite namiesto toho ibus-setup .