Ubuntu Weekly Recipe

第581回 Debian 10 "Buster"の紹介

この記事を読むのに必要な時間:およそ 4 分

Debian 10での主な変更点

それではDebian 10 "Buster"がどう変わったか,Debian 9 "Stretch"からの主な変更点を見ていきましょう。

図1 Debian 10 "Buster"の公式Art work by Alex Makas.
URL: https://wiki.debian.org/DebianArt/Themes/futurePrototype

画像

なお,以下の内容はDebianのリリースノートから,ユーザに関連しそうな大きな変更点を抜粋した版です. より細かい変更点や,詳細な内容,一次情報についてはリリースノートを確認してください。

新規インストール時のmerged /usr

「主な変更点」と言いつつ,最初は地味な変更点で恐縮ですが,説明の都合上最初に取り上げたほうが楽でしたので,まずは「merged /usr」から紹介します。

Debianを新規にインストールした場合には,/bin,/sbin/,/libといったディレクトリの中身は/usr 以下の対となるディレクトリにインストールされ,/bin,/sbin,/libといったディレクトリはすべて/usr/以下の対となるディレクトリを指すシンボリックリンクとなります。

% cd /
% ls -l bin sbin lib
lrwxrwxrwx 1 root root 7 2018-08-07 16:57 bin -> usr/bin/
lrwxrwxrwx 1 root root 7 2018-08-07 16:57 lib -> usr/lib/
lrwxrwxrwx 1 root root 8 2018-08-07 16:57 sbin -> usr/sbin/

この変更(merged /usr)についての詳細はFreedesktop.orgのWikiを参照してください。

多くのユーザにとってmerged /usrはあまり影響の無い変更でしょう。ただし,自分でスクリプトを書いていたり,サードパーティ製のソフトウェアを利用しているユーザは,実行ファイルのパスが変わる可能性もありますので,注意したほうが良いかもしれません。

なお,アップグレードの際にはこの変更は行なわれません。もし新規インストールと状況を揃えたい場合にはusrmergeパッケージが提供するコマンドが役に立つでしょう。

GNOMEのデフォルトがWaylandに

ユーザの利便性という点では非常に重要な点かもしれません。

Debianはデスクトップ環境を「決め打ち」してはいませんが,何も選択しない場合のデフォルトのデスクトップ環境はGNOMEです。このGNOMEがデフォルトではXorgではなくWaylandで動作するようになりました。環境によってはWaylandのほうがセキュリティやパフォーマンスの面で優れているでしょう。

一方で,これまで通りXorgのサーバも標準でインストールされ,利用可能です。Waylandに対応していないソフトウェアの利用を考えている時や,ディスプレイマネージャーのアクセシビリティ機能が必要となるユーザはXorgを用いたほうが良いでしょう。

Busterインストール後にXorgの利用に切り替える場合には/etc/gdm3/daemon.confを以下のように編集します。

# GDM configuration storage
#
# See /usr/share/gdm/gdm.schemas for a list of available options.

[daemon]
# Uncomment the line below to force the login screen to use Xorg
WaylandEnable=false     # ←この行がコメントアウトされているのでコメントを外す

...以下略

編集後に再起動してみてください。gdm3およびGNOMEがXorgで起動するようになります。

UEFI Secure Boot対応

UEFI Secure Bootは,UEFIにおいて署名されていないコードの実行を防止するこで,bootkitやrootkitから計算機を保護する機能です。Debian 10 "Buster"より,SecureBootが有効となった機材にもインストールが可能となっています。

また,既存のDebianシステムにおいても,アップグレードの際にshim-signedgrub-efi-amd64-signedあるいはgrub-efi-ia32-signedLinuxカーネルパッケージをインストールすればSecure Bootを有効にできます。

一方で,⁠イメージの改竄を検出する」というSecureBootの機能の代償として一部の機能制限があります※5⁠。自身が利用するシステムにおいてSecureBootを有効にするかどうかは良く考えておく必要がありそうです。

※5
例えばDKMSを利用してカーネルモジュールを追加するには,Machine Owner Keyを追加する,といった作業が必要となります。詳細についてはhttps://wiki.debian.org/SecureBoot#MOK_-_Machine_Owner_Keyを参照してください。

AppArmorの有効化

AppArmorはLinuxのセキュリティモジュールの一つで,プログラム毎にプロファイルを定義し適用することでプログラムの権限を制約することができる,強制アクセスコントロールシステムです。Debian 10 "Buster"より,LinuxイメージパッケージのRecommends(推奨)依存関係として,このこのAppArmorが導入され有効化されるようになりました。とはいえ,apparmorパッケージは基本的なプロファイルを提供するのみですから,apparmor-profiles-extraパッケージも導入しておくのが良いでしょう。

なお,AppAromorの利用は「強制」ではありません. 依存関係はRecommends(推奨)ですから,インストール時に「推奨」を外していた場合にはAppAromorは導入されません(削除も可能です⁠⁠。

ネットワークフィルタリング機能のnftablesへの変更

Busterからはiptablesパッケージが提供するiptablesコマンドの実体がiptables-nftになっています。これはLinuxカーネルのnf_tablesを利用してネットワークフィルタリングを行なうコマンド群です。フィルタリングルールの書き換えを後回しにしたい場合には,update-alternativesコマンド等を利用して,iptablesとしてiptables-legacyを利用するようにしてください。

% sudo update-alternatives --config iptables
alternative iptables (/usr/sbin/iptables を提供) には 2 個の選択肢があります。

  選択肢    パス                     優先度  状態
------------------------------------------------------------
* 0            /usr/sbin/iptables-nft      20        自動モード
  1            /usr/sbin/iptables-legacy   10        手動モード
  2            /usr/sbin/iptables-nft      20        手動モード

なお,これらはあくまでiptablesコマンド群から移行できないユーザ向けの話です。nftablesはiptablesとフィルタリングルールの文法が異なるものの,機能面では完全に上位互換であり,かつ,性能の改善,IPv4/v6混在環境での使いやすさ,動的なルールセットのアトミックな適用などといった多くの利点があります。将来を見据えてnftablesへ移行することが強く推奨されています。

Debian 10を試す,Liveイメージ!

Debian 10を試すにはLiveイメージが便利でしょう。利用したいDesktop環境毎に,Debian 10のLiveイメージが提供されています。⁠GNOME」⁠KDE」⁠LXDE」⁠LXQt」⁠Xfce」⁠Cinnamon」⁠MATE」それぞれのLiveイメージがダウンロード可能です。

このLiveイメージにはインストーラとして「Calamaresインストーラ」が同梱されています。既存のDebianインストーラのすべての機能に対応している訳ではありませんが,DesktopへDebianを導入する際には非常に直感的に利用できると期待しています。

また,Debian LiveチームはGUI環境を含まないLiveイメージである「standard」の提供を復活させました。GUIの不要なDebian環境を導入する場合には,既存のインストーラを利用するよりも(圧縮されたイメージをディスクに展開するだけですので)短時間でインストールが終わるようになっています。是非活用してください。

最後に

本稿ではDebian 10 "Buster"について駆け足で紹介しました。

個々のディストリビュータはそれぞれの開発方針で最新の「リリース」を提供しています。目指すところが同じこともあれば,違うこともあったりして,同じ(ような)ソフトウェアを提供しているにもかかわらず総体としては全然違う顔付きになったりします。普段Ubuntu一辺倒の人も,たまには別のディストリビューションを試してみるのはいかがでしょうか。ということで,この機会に是非Debianを触ってみてください。

著者プロフィール

佐々木洋平(ささきようへい)

Debian JP Project所属。毎月1回のペースで関西Debian勉強会を開催中(ネタも募集しております)。本業は大学教員。学内の計算機ネットワーク環境がすべてDebianとUbuntuであったらどんなに楽だろう,と考えつつ日々過ごしている。