Poznámky k vydání #

Nastavení údržby openSUSE Leap 15.3 se skládá ze tří hlavních úložišť aktualizace. Jsou to: repo-update, repo-backports-update a repo-sle-update. Druhé dva jsou nové a jsou výsledkem opětovného použití binárek ze SUSE Linux Enterprise. Tato úložiště jsou k dispozici a kontrolována během online instalace openSUSE Leap. Doporučujeme, abyste je používali. Nové definice úložiště aktualizací pro openSUSE Leap 15.3 budou dodatečně dodávány při aktualizaci údržby "0day" balíčku openSUSE-release. Aktualizace bude doručena tradičním kanálem údržby repo-update. Bude mít zvláštní příznak aktualizace, což znamená, že se dotýká oblasti správy softwaru, která je pak speciálně zpracována Zypperem. Měli byste zkontrolovat příkazem zypper up, zda byly zpracovány všechny aktualizace. Další informace viz https://bugzilla.opensuse.org/show_bug.cgi?id=1186593.

Úložiště repo-update je určeno pro aktualizace openSUSE Leap (OSS). Je nejmenší a obsahuje systémové konfigurační balíčky včetně balíčků vydání, budování značky a potenciálních větví balíčků SUSE Linux Enterprise. Toto úložiště má i variantu debug-info.

Úložiště repo-backports-update je aktualizační úložiště pro openSUSE Backports, které obsahuje aktualizace pro většinu balíčků openSUSE Leap. Toto úložiště má i variantu debug-info.

Třetí úložiště, nazvané repo-sle-update, je aktualizační a obsahuje kombinované aktualizace ze všech aktivních aktualizačních proudů SUSE Linux Enterprise. Toto úložiště nemá variantu debug-info.

Instalátor podporuje systémou roli Transakční server, která obsahuje aktualizační systém provádějící aktualizace atomicky (jako jednu nedělitelnou operaci) a tak usnadňuje návrat k předešlému stavu, je-li nezbytný. Atomický způsob aktualizace vychází z nástrojů správy balíčků, na nějž spoléhají také všechny ostatní distribuce SUSE a openSUSE. Převážná většina RPM balíčků, fungujících s jinými systémovými rolemi openSUSE Leap 15.3, tedy funguje i se systémovou rolí Transakční server.

Poznámka: Nekompatibilní balíčky

Některé balíčky mění obsah souboru /var nebo /srv ve svých RPM %post skriptech. Tyto balíčky jsou nekompatibilní. Najdete-li takový balíček, pak tuto chybu nahlaste.

Aby zajistil tyto funkce, spoléhá tento aktualizační systém na:

Důležité: Transakční server vyžaduje alespoň 12 GB místa na disku

Systémová role Transakční server vyžaduje alespoň 12 GB místa na disku, aby bylo možné pořizovat snímky Btrfs.

Důležité: YaST nefunguje v transakčním režimu

V tuto chvíli YaST nefunguje s transakčními aktualizacemi, protože YaST provádí úkony okamžitě, a protože neumí upravovat systémy souborů, které jsou určeny jen ke čtení.

Pro práci s transakčními aktualizacemi vždy pro správu softwaru používejte příkaz transactional-update místo nástrojů YaST a Zypper:

Při použití této systémové role provádí systém standardně denní aktualizaci a restart v čase mezi 3:30 a 5:00. Obě tyto akce jsou založené na systemd; je-li třeba, lze je zakázat příkazem systemctl:

systemctl disable --now transactional-update.timer rebootmgr.service

Další informace o transakčních aktualizacích viz články v blogu openSUSE Kubic https://kubic.opensuse.org/blog/2018-04-04-transactionalupdates/ a https://kubic.opensuse.org/blog/2018-04-20-transactionalupdates2/.

Instalátor nabídne schéma diskových oddílů, jen pokud je k dispozici pevný disk větší než 12 GB. Pokud si chcete sestavit například velmi malý obraz virtuálního stroje, použijte řízený nástroj rozdělení disku, abyste mohli ručně vyladit parametry rozdělení disku.

Než nainstalujete openSUSE na systém, který je zaváděn pomocí UEFI (Unified Extensible Firmware Interface), důrazně doporučujeme zkontrolovat, zda nejsou od výrobce hardwaru k dispozici doporučené aktualizace firmwaru. Pokud ano, nainstalujte je. Je-li předinstalován systém Windows 8 nebo vyšší, je pravděpodobné, že váš systém UEFI používá.

Pozadí: Některý firmware UEFI obsahuje chyby, které způsobují znefunkčnění je-li zapsáno do úložného prostoru UEFI příliš mnoho dat. Nikdo však ve skutečnosti neví, kolik je to „příliš mnoho“.

openSUSE toto riziko snižuje tím, že nezapisuje více než pouhé minimum potřebné pro zavedení OS. Tímto minimem je sdělení firmwaru UEFI, kde se nachází zavaděč openSUSE. Upstreamové funkce jádra Linuxu, které používají úložný prostor UEFI pro ukládání informací o zavádění systému a jeho pádu (pstore) jsou ve výchozím stavu zakázané. Nicméně je však doporučeno nainstalovat veškeré aktualizace firmwaru, které výrobce doporučuje.

Společně se specifikací EFI/UEFI se objevil nový styl dělení disků GPT (GUID Partition Table). Je to nové schéma, které k identifikaci zařízení a typů diskových oddílů používá globálně unikátní identifikátory (128bitové hodnoty zobrazené jako 32 šestnáctkových číslic).

Navíc pak specifikace UEFI umožňuje užívání starších oddílů MBR (MS-DOS). Zavaděče Linuxu (ELILO nebo GRUB 2) zkoušejí automaticky vygenerovat GUID těchto starších oddílů a zapsat je do firmwaru. Takový GUID se může často měnit, což způsobuje přepis firmwaru. Přepis se skládá ze dvou různých operací: odstranění starého záznamu a vytvoření nového, který nahradí ten původní.

Moderní firmware má garbage collector, který sbírá smazané položky a uvolňuje paměť, která byla pro ně rezervována. Když chybný firmware tyto položky nesbírá a neuvolňuje, nastává problém, který může skončit nezaveditelným systémem.

Abyste se tomuto problému vyhnuli, zkonvertujte starší oddíly MBR na GPT.

Součástí instalace na notebooky je balíček tlp (spolu s podbalíčkem tlp-rdw, pokud je povolena instalace doporučených balíčků).

Tato služba není automaticky zapnuta, protože by mohla být nekompatibilní s jinými specializovanými aplikacemi pro notebooky, např. laptop-mode-tools, rfkill, gnome-power-manager nebo kde-power-manager. Chcete-li službu zapnout, použíjte YaST Services Manager nebo příkaz systemctl enable --now tlp.service . Pokud po zapnutí zaznamenáte jakékoliv problémy, např. s Wi-Fi nebo nefunkčními USB porty, službu opět vypněte.

openSUSE Leap 15.3 je nově postaven na binárních balíčcích RPM z distribuce SUSE Linux Enterprise Server. Tato změna je součástí iniciativy Closing The Leap Gap (CtLG), tedy snahy o sblížení distribucí openSUSE Leap a SUSE Linux Enterprise Server.

Oproti verzi 15.2 obsahuje výchozí instalace openSUSE Leap 15.3 většinu balíčků z distribuce SUSE Linux Enterprise Server. Tyto balíčky jsou podepsány společností SUSE LLC namísto předchozího klíče openSUSE. Verze balíčku libzypp 12.25.8 pak nastavuje podpisy SUSE LLC a openSUSE jako zaměnitelné, aby byl přechod co nejméně bez problému. Toto povolení tudíž odstraňuje nutnost uvádět při přechodu mezi těmito dvěma podpisy parametr --allow-vendor-change. Pokud však při migraci používáte repozitáře systému OBS podepsané i jinými klíčy, uvádět parametr --allow-vendor-change stále musíte.

Verze systému openSUSE Leap starší než 15.2 tuto funkci nemají, jelikož už nejsou podporovány. Všem uživatelům se doporučuje před povýšením na verzi 15.3 nejprve přejít na nejnovější verzi systému openSUSE Leap 15.2. Následující parametry pak mohou být použity jako náhradní řešení pro balíčky libzypp verze 12.25.8 a starší:

zypper addrepo --check --refresh --name 'openSUSE-Leap-15.0-Update' http://download.opensuse.org/update/leap/15.0/oss/ repo-update
zypper dup --allow-vendor-change --force-resolution

openSUSE Leap 15.3 zahrnuje všechny klíče použité k ověření balíčků, včetně těch pro SUSE Linux Enterprise Server, v rámci balíčku openSUSE-build-key. Všechny klíče jsou rovněž nově dostupné v repozitáři OSS.

Balíček libzypp verze 17.25.11 by měl automaticky importovat všechny vyžadované klíče, které jsou považované za důvěryhodné. Pokud se tak stalo, budete o tomto informováni a nic dalšího již nemusíte dělat.

Pokud však systém neimportoval klíč, kterým byly podepsány repodata, budete ho muset importovat ručně. Zkontrolovat situaci můžete následujícím příkazem:

rpm -qa gpg-pubkey

Ve výstupu byste měli vidět řádek začínající následujícím textem: gpg-pubkey-39db7c82-*. Pokud tam není, následujícím způsobem klíč importujte ručně:

Více informací najdete na https://bugzilla.opensuse.org/show_bug.cgi?id=1184326.

Na openSUSE Leap bylo výchozí jádro rozděleno do tří dílčích balíčků: kernel-default, kernel-default-extra a kernel-default-optional. Podobně byl i kernel-preempt rozdělen do kernel-preempt, kernel-preempt-extra a kernel-preempt-optional. Balíček -optional obsahuje volitelné moduly jen pro openSUSE Leap. Balíček -extra obsahuje nepodporované moduly. Režim předjímání (angl. preemption) v jádru lze ovládat parametrem jádra preempt=voluntary z příkazového řádku. Tento parametr funguje s balíčkem kernel-default.

Používáte-li tuto variantu jádra, ujistěte se, že jsou instalovány všechny balíčky nutné pro váš případ použití.

Zastaralé balíčky jsou stále posílány jako součást distribuce, ale v další verzi openSUSE Leap se plánuje jejich odstranění. Balíčky existují jako pomoc při migraci, ale jejich používání se nedoporučuje a už nemusejí dostávat opravy.

Pro kontrolu, zda jsou ještě instalované balíčky udržovány, nejprve nainstalujte balíček lifecycle-data-openSUSE a pak použijte příkaz:

zypper lifecycle

Odstraněné balíčky již nadále nejsou součástí distribuce.

Pro openSUSE KMP např. virtualbox se vyžaduje nově zavedený balíček openSUSE-signkey-cert, ale jen v režimu Bezpečný boot. Balíček obsahuje certifikát podpisového klíče openSUSE pro podepisování souborů modulů jádra (.ko) v openSUSE KMP a volá mokutil na pomoc uživateli se zápisem certifikátu do MOK. Takto lze openSUSE KMP ověřit jádrem.

Nemáte-li instalovanou základní šablonu a používáte některou z těchto KMP, doporučujeme instalovat balíček openSUSE-signkey-cert manuálně. Vyžaduje to restart systému. Více informací o tomto procesu a ručním zápisu najdete na https://en.opensuse.org/SDB:NVIDIA_drivers#Secureboot.

openSUSE Leap 15.2 a vyšší nyní kontrolují podpisy modulů jádra u ovladačů třetích stran (CONFIG_MODULE_SIG=y). Toto bezpečnostní opatření je důležité, aby se zamezilo spuštění nedůvěryhodného kódu v jádru systému.

Pokud je zapnuta funkce UEFI Secure Boot, může se tím zabránit načtení modulů jádra třetích stran. Toto se netýká balíčků modulů jádra (Kernel Module Packages, KMPs) z oficiálních úložišť openSUSE, ty jsou totiž podepsány klíčem openSUSE. Kontrola podpisu pracuje takto:

Lze vygenerovat uživatelský certifikát, zavést ho do systémové databáze Machine Owner Key (MOK), a jeho klíčem podepsat lokálně zkompilované moduly jádra. Moduly takto podepsané nebudou zablokovány, ani nevyvolají varovné zprávy. Viz https://en.opensuse.org/openSUSE:UEFI.

Jelikož se toto týká rovněž grafických ovladačů společnosti NVIDIA, je řešení součástí našich oficiálních balíčků systému openSUSE. Po instalaci je však nutné ručně zaregistrovat nový klíč MOK, aby nové balíčky fungovaly. Pokyny k instalaci ovladačů a registraci klíče MOK najdete v https://en.opensuse.org/SDB:NVIDIA_drivers#Secureboot.

Balíčky KDE 4 již nejsou součástí openSUSE Leap 15.3. Aktualizujte svůj systém na Plasma 5 a Qt 5. Některé balíčky Qt 4 mohou z důvodu kompatibility stále přítomny. Další informace najdete na stránce https://bugzilla.opensuse.org/show_bug.cgi?id=1179613.

Jelikož balíček IBus verze 1.5.23 přejmenoval některá rozvržení klávesnice, nedokáže po aktualizaci načíst nastavení, která obsahují tato přejmenovaná rozvržení. Může tak dojít k nastavení rozvržení na "US". Tato změna se týká následujících rozvržení: Belgie, Německo, Řecko, Rumunsko a Slovensko. Další informace viz https://bugzilla.opensuse.org/show_bug.cgi?id=1177545 for more information.

Migraci nastavení musí uživatel provést ručně. Nejprve otevřete nastavení GNOME a poté vyberte příslušné rozvržení. V prostředích kromě GNOME je pak možné spustit příkaz ibus-setup.