openSUSE Leap 15.0

Poznámky k vydání

openSUSE Leap je svobodný operační systém založený na Linuxu, který je určený
jak pro váš osobní počítač, notebook, tak i pro server. Můžete v něm brouzdat
na internetu, spravovat e-maily a fotky, pracovat v kanceláři, přehrávat filmy
či hudbu a bavit se!

Přispěvatelé: Jakub Friedl, Marek Stopka a Jan Papež
Datum vydání: 2019-11-26, : 15.0.20191126

1 Instalace
2 Aktualizace systému
3 Změny v balíčkování
4 Ovladače a hardware
5 Desktop
6 Zabezpečení
7 Technické
8 Více informací a zpětná vazba

Doba údržby openSUSE Leap 15.0 právě skončila. Abyste udrželi své systémy
aktuální a zabezpečené, je potřeba openSUSE povýšit na aktuální verzi. Před
zahájením povýšení systému se ujistěte, že máte nainstalované všechny údržbové
aktualizace pro openSUSE Leap 15.0.

Pro více informací o povýšení systému na aktuální verzi openSUSE viz http://
en.opensuse.org/SDB:Distribution-Upgrade.

Pokud aktualizujete ze starší verze na toto vydání openSUSE Leapu, můžete si
předchozí poznámky k vydání přečíst zde: http://en.opensuse.org/
openSUSE:Release_Notes.

Informace o projektu jsou dostupné https://www.opensuse.org.

1 Instalace

Tato sekce obsahuje poznámky ohledně instalace. Detailní informace ohledně
postupu upgradu najdete v dokumentaci na https://doc.opensuse.org/documentation
/leap/startup/html/book.opensuse.startup/part.basics.html.

Nezapomeňte přehlédnout také 4 – „Ovladače a hardware“.

1.1 Použití atomických aktualizací s novou systémovou rolí Transakční server

Instalátor nyní podporuje novou systémovou roli Transakční server, která je
výsledkem úsilí openSUSE Kubic. Tato systémová role obsahuje nový aktualizační
systém, který aplikuje aktualizace atomicky (jako jednu operaci) a umožňuje
snadno se vrátit v případě potřeby. Tyto funkce jsou založeny na nástrojích na
správu balíčků, na které sa taktéž spoléhají všechny ostatní distribuce SUSE a
openSUSE. To znamená, že drtivá většina balíčků RPM, které pracují s jinými
systémovými rolemi openSUSE Leap 15.0, pracují i se systémovou rolí Transakční
server.

Poznámka

Poznámka: Nekompatibilní balíčky

Některé balíčky upravují obsah souboru /var nebo /srv ve svých RPM %post
skriptech. Tyto balíčky jsou nekompatibilní. Najdete-li takový balíček,
nahlaste chybu.

Aby zajistil tyto funkce, spoléhá tento aktualizační systém na:

  • Snímky Btrfs.  Před započetím aktualizace systému je vytvořen nový Btrfs
    snímek kořenového souborového systému. Poté jsou všechny změny v
    aktualizaci nainstalovány do tohoto Btrfs snímku. Pro dokončení této
    aktualizace můžete poté restartovat systém do tohoto nového snímku.

    Pro návrat z této aktualizace jednoduše místo toho spusťte systém z
    předchozího snímku.

  • Kořenový souborový systém jen pro čtení.  Abyste předešli chybám s
    aktualizacemi a ztrátou dat kvůli aktualizacím, do kořenového souborového
    systému nesmí být proveden zápis. Proto je během běžného provozu kořenový
    souborový systém připojen jako „pouze pro čtení“.

    Aby toto nastavení fungovalo, je třeba provést dvě dodatečné změny do
    souborového systému: Povolit zápis v uživatelské konfigurace v /etc, tento
    adresář je automaticky nastaven tak, aby používal OverlayFS. /var je nyní
    zvláštní oddělený podsvazek, do nějž mohou zapisovat procesy.

Důležité

Důležité: Transactional Server Needs At Least 12 GB of Disk Space

The system role Transactional Server needs a disk size of at least 12 GB to
accommodate Btrfs snapshots.

Pro práci s transakčními aktualizacemi vždy pro správu softwaru používejte
příkaz transactional-update místo nástrojů YaST a Zypper:

  • Aktualizovat systém: transactional-update up

  • Nainstalovat balíček: transactional-update pkg in NAZEV_BALICKU

  • Odstranit balíček: transactional-update pkg rm NAZEV_BALICKU

  • Pro návrat do posledního snímku, který je posledním v sadě změn ke
    kořenovému souborovému systému, ujistěte se, že váš systém je zaveden do
    předposledního snímku a spusťte: transactional-update rollback

    Volitelně, pokud se chcete vrátit ke konkrétnímu ID, přidejte na konec
    příkazu ID snímku.

When using this system role, by default, the system will perform a daily update
and reboot between 03:30 am and 05:00 am. Both of these actions are
systemd-based and if necessary can be disabled using systemctl:

tux@linux >sudo systemctl disable --now transactional-update.timer rebootmgr.service

Další informace o transakčních aktualizacích viz články v blogu openSUSE Kubic
https://kubic.opensuse.org/blog/2018-04-04-transactionalupdates/ a https://
kubic.opensuse.org/blog/2018-04-20-transactionalupdates2/.

1.2 Instalace minimálního systému

Minimální instalace systému postrádá určitou funkcionalitu, která je často
považována za samozřejmou:

  • Neobsahuje softwarové rozhraní pro firewall. Můžete si dodatečně
    nainstalovat balíčekfirewalld.

  • Neobsahuje YaST. Můžete si dodatečně nainstalovat vzorek 
    patterns-yast-yast2_basis.

1.3 Installing on Hard Disks With Less Than 12 GB of Capacity

The installer will only propose a partitioning scheme if the available hard
disk size is larger than 12 GB. If you want to set up, for example, very small
virtual machines images, use the guided partitioner to tune partitioning
parameters manually.

1.4 UEFI—Unified Extensible Firmware Interface

Než nainstalujete openSUSE na systém, který je zaváděn pomocí UEFI (Unified
Extensible Firmware Interface), důrazně doporučujeme zkontrolovat, zda nejsou u
výrobce hardwaru k dispozici doporučené aktualizace firmwaru. Pokud ano,
nainstalujte je. Je-li předinstalován systém Windows 8 nebo vyšší, je to silná
indicie, že váš systém UEFI používá.

Pozadí: Některý firmware UEFI obsahuje chyby, které způsobují znefunkčnění
je-li zapsáno do úložného prostoru UEFI příliš mnoho dat. Nikdo však ve
skutečnosti neví, kolik je to „příliš mnoho“.

openSUSE snižuje riziko tím, že nezapisuje více než pouhé minimum potřebné pro
zavedení OS. To minimum znamená sdělení firmwaru UEFI, kde se nachází zavaděč
openSUSE. Upstreamové funkce jádra Linuxu, které používají úložný prostor UEFI
pro ukládání informací o zavádění systému a jeho pádu (pstore) jsou ve výchozím
stavu zakázané. Nicméně je však doporučeno nainstalovat veškeré aktualizace
firmwaru, které výrobce doporučuje.

1.5 UEFI, GPT a oddíly MS-DOSu

Společně se specifikací EFI/UEFI se objevil nový styl dělení disků: GPT (GUID
Partition Table). Je to nové schéma, které k identifikaci zařízení a typů
diskových oddílů používá globálně unikátní identifikátory (128bitové hodnoty
zobrazené jako 32 šestnáctkových číslic).

Navíc pak specifikace UEFI umožňuje užívání starších oddílů MBR (MS-DOS).
Zavaděče Linuxu (ELILO nebo GRUB 2) zkoušejí automaticky vygenerovat GUID
těchto starších oddílů a zapsat je do firmwaru. Takový GUID se může často
měnit, což způsobuje přepis firmwaru. Přepis se skládá ze dvou různých operací:
odstranění starého záznamu a vytvoření nového, který nahradí ten původní.

Moderní firmware má garbage collector, který sbírá smazané položky a uvolňuje
paměť, která byla pro ně rezervována. Může se objevit problém, když chybný
firmware tyto položky nesbírá a neuvolňuje. To může skončit nezaveditelným
systémem.

Abyste se tomuto problému vyhnuli, zkonvertujte starší oddíly MBR na GPT.

1.6 Změna měřítka uživatelského rozhraní instalátoru na počítačích s
obrazovkami s vysokým rozlišením (High-DPI)

Instalátor YaST ve výchozím stavu neprovádí úpravu měřítka pro obrazovky s
vysokým rozlišením. Pokud máte počítač s obrazovkou High-DPI, můžete nastavit
YaST tak, aby automaticky změnil měřítko uživatelského rozhraní. Přidejte do
příkazové řádky zavaděče parametr QT_AUTO_SCREEN_SCALE_FACTOR=1.

2 Aktualizace systému

Tato sekce obsahuje poznámky k povyšování systému. Podrobné instrukce jak
postupovat při povýšení najdete v dokumentaci na https://doc.opensuse.org/
documentation/leap/startup/html/book.opensuse.startup/cha.update.osuse.html.

Nezapomeňte přehlédnout také 4 – „Ovladače a hardware“.

Zkontrolujte ještě 3 – „Změny v balíčkování“.

2.1 Zvýšení verze systému z openSUSE Leap 42.3

2.1.1 Ponižování balíčků během povýšení systému

The RPM package information of packages shipped in openSUSE Leap 15.0 contain
an added openSUSE Leap version string. For this reason, packages that contain
the same upstream version of software as shipped in openSUSE Leap 42.3 will be
displayed as downgrades, even though they actually contain the same software
but compiled for a newer operating system.

2.1.2 cryptconfig je odstraněn

Předchozí verze openSUSE Leapu podporovaly individuální šifrování domovských
adresářů pomocí cryptconfigu. Tato funkce a balíček cryptconfig již v openSUSE
Leap 15.0 nejsou k dispozici.

Pro šifrování uživatelských dat na openSUSE Leapu 15.0 zašifrujte buď celý
oddíl nebo svazek, který obsahuje domovské adresáře.

Tip

Tip: Rozšifrujte před povýšením

We encourage you to decrypt encrypted home directories before performing an
upgrade from openSUSE Leap 42.3. While under openSUSE Leap 15.0, existing
encrypted home directories can still be used (the underlying technology, 
pam_mount, is still available), there may not be an easy upgrade path in the
future.

Neexistuje ani způsob, jak jednotlivě zašifrovat domovské adresáře uživatelů
přidaných po upgradu na openSUSE Leap 15.0.

2.1.3 Postfix Admin Uses Backwards-Incompatible Directory Layout

Starting with the version 3.2, as shipped in openSUSE Leap 15.0, Postfix Admin
(package postfixadmin) uses a new and backwards-incompatible directory layout:

  • Konfigurační soubory se přesunuly do /etc/postfixadmin.

  • PHP kód se přesunul do /usr/share/postfixadmin.

  • Vyrovnávací paměť Smarty se přesunula do /var/cache/postfixadmin.

Postfix Admin no longer reads configuration files from their previous locations
and the configuration is not migrated automatically. Therefore, you need to
migrate the following items manually:

  • Přesuňte z /srv/www/htdocs/postfixadmin do /etc/postfixadmin.

  • Pokud jste provedli úpravy v config.inc.php, ideálně slučte tyto změny do /
    etc/postfixadmin/config.local.php. Soubor config.inc.php nedoporučujeme
    upravovat.

  • V konfiguraci Apache přidejte nebo povolte alias /postfixadmin:

      □ Aby byl tento alias dostupný na všech virtuálních hostech, spusťte:

        tux@linux > sudo a2enflag POSTFIXADMIN && rcapache2 restart

      □ Abyste alias zpřístupnili pouze na určitém virtuálním hostu, přidejte
        alias do konfigurace daného virtuálního hosta.

2.1.4 Offline povýšení selže pokud jsou šifrované disky mapovány podle názvu

Použitím funkce offline povýšení z instalačního média na počítači se
zašifrovaným datovým oddílem, jako je /home, může při výběru předchozí
instalace spadnout instalátor YaST.

Toto se stává, když je ve souboru /etc/fstab zapsán šifrovaný diskový oddíl
pomocí mapovacího názvu zařízení, jako je např. /dev/mapper/cr_home. V
instalačním prostředí nemůže YaST tuto cestu asociovat s automaticky
detekovaným svazkem.

Abyste mohli použít funkcionalitu offline povýšení systému, ještě zahájením
povýšení změňte v souboru /etc/fstab názvy zařízení na identifikátory zařízení
UUID. Pro zjištění správných UUID zařízení použijte následující příkaz:

tux@linux > blkid | grep "DEVICE_MAPPER_NAME"

Výstup tohoto příkazu bude mít v uvozovkách uvedený identifikátor UUID
následující po řetězci UUID=.

2.1.5 GPG má nový formát databáze klíčů

openSUSE Leap 42.3 shipped with GPG 2.0, while openSUSE Leap 15.0 includes
GPG 2.2. In between these GPG versions, a new key database format was
introduced. GPG 2.2 will automatically upgrade your key ring to the new format.
However, the upgraded key ring cannot be used by older versions of GPG anymore.

Pokud si chcete ponechat k dispozici starší verzi databáze klíčů, zazálohujte
si adresář ~/.gnupg před tím, než spustíte povýšení systému na openSUSE Leap
15.0.

2.1.6 ntpd byl nahrazen Chrony

Služba synchronizace se serverem času ntpd byla nahrazena modernější službou
Chrony.

To znamená, že soubory AutoYaST se sekcí ntp_client je třeba aktualizovat novým
formátem této sekce. Další informace o novém formátu AutoYaST ntp_client viz
https://doc.opensuse.org/projects/autoyast/#Configuration.Network.Ntp.

To synchronize time in intervals, YaST sets up a cron configuration file. From
openSUSE Leap 15.0 on, the configuration file used for this is owned by the
package yast2-ntp-client (previously no package owned it). The configuration
file has been renamed from novell.ntp-synchronization to
suse-ntp_synchronization to be consistent with other cron configuration files.
The upgrade from previous versions of openSUSE Leap is performed automatically:
If a file with the old name is found, it will be renamed and references to ntpd
in it will be replaced by chrony references.

3 Změny v balíčkování

3.1 Zastaralé balíčky

Zastaralé balíčky jsou stále posílány jako součást distribuce, ale v další
verzi openSUSE Leap se plánuje jejich odstranění. Balíčky existují jako pomoc
migrace, ale jejich používání se nedoporučuje a už nemusejí dostávat opravy.

Pro kontrolu, zda instalované balíčky už nejsou udržovány: Zajistěte, aby byl
instalován lifecycle-data-openSUSE, pak použijte příkaz:

tux@linux > zypper lifecycle

3.2 Odstraněné balíčky

Odstraněné balíčky, které již nadále nejsou součástí distribuce.

  • cryptconfig: Již nebyl udržován. Místo něj použijte šifrování diskového
    oddílu. Pro více informací vizte 2.1.2 – „cryptconfig je odstraněn“.

  • SuSEfirewall2: Byl nahrazen balíčkem firewalld. Pro informace o migraci na 
    firewalld vizte https://en.opensuse.org/Firewalld a https://
    doc.opensuse.org/documentation/leap/security/html/book.security/
    cha.security.firewall.html#sec.security.firewall.firewalld.

  • php7-imap: Volitelné rozšíření IMAP PHP již není dodáváno, protože
    referenční implementace UW IMAP už není udržována.

4 Ovladače a hardware

4.1 Zamrzání na strojích s GPU Nvidia a hybridních grafických kartách

S jádrem dodaném v openSUSE Leapu 15.0 GM se může ovladač Nouveau pro grafické
karty Nvidia zaseknout při restartu, vypnutí nebo za běhu při akcích správy
napájení. Tato chyba primárně nastává na systémech s hybridními grafickými
kartami, jako jsou notebooky obsahující integrované grafické karty Intel a
oddělené grafické karty Nvidia.

Tato chyba bude opravena v údržbové aktualizaci jádra. Avšak vzhledem k tomu,
že instalační obraz nedostává aktualizace, může se tato závada objevit během
instalace nebo během prvního spuštění dokonce i poté, co byla tato aktualizace
vydána. V takovém případě lze dočasně tuto chybu obejít spuštěním systému s
volbou zavaděče nouveau.modeset=0. Po instalaci aktualizovaného jádra s opravou
této chyby je možné tuto volbu opět odstranit.

4.2 KDE na Waylandu není podporováno s proprietárním ovladačem Nvidia

KDE Plasma na sezení Wayland není podporováno s proprietárním ovladačem Nvidia.
Pokud používáte KDE a proprietární ovladač Nvidia, zůstaňte u sezení X.

5 Desktop

Tato sekce uvádí změny a problémy v openSUSE Leap 15.0.

5.1 Není výchozí kombinace kláves

V předchozích verzích openSUSE umožňovala složená kombimace kláves zápis znaků,
které nebyly uvedeny na příslušné klávesnici. Například k zapsání „å“ šlo
stisknout a podržet Shift–Right Ctrl a pak dvakrát stisknout a.

V openSUSE Leap 15.0 již není předdefinovaná kombinace klávesy Compose, protože
Shift–pravý Ctrl již nefunguje podle očekávání.

  • K definici uživatelské kombinace kláves platné pro celý systém použijte
    soubor /etc/X11/Xmodmap a najděte v něm řádky:

    [...]
    !! Third example: Change right Control key to Compose key.
      (Třetí příklad: Změna pravé klávesy Control na klávesu složené kombinace.)
    !! To do Compose Character, press this key and afterwards two
      (Pro vytvoření kombinace stiskněte tuto klávesu a pak dva znaky)
    !! characters (e.g. 'a' and '^' to get 342).
      (například pro 342 'a' a '^')
    !remove  Control  = Control_R
    !keysym Control_R = Multi_key
    !add     Control  = Control_R
    [...]

    Pro odkomentování kódu příkladu odstraňte znaky ! na začátcích řádků.
    Pozor: nastavení ze souboru Xmodmap bude přepsáno, když použijete
    setxkbmap.

  • Pro definice uživatelských kombinací kláves použijte konfigurační nástroj
    klávesnice svého PC nebo nástroj příkazového řádku setxkbmap:

    tux@linux > setxkbmap [...] -option compose:COMPOSE_KEY

    Na proměnnou COMPOSE_KEY, použijte svůj preferovaný znak, například ralt
    (pravý Alt / AltGr), lwin (levý Windows), rwin (pravý Windows), menu, rctl
    (pravý Ctrl) nebo caps (uzamykač).

  • Případně použijte vstupní metodu IBus umožňující zapsání potřebných znaků
    bez použití předřadné klávesy.

5.2 Use update-alternatives to Set Display Manager and Desktop Session

In the past, you could use /etc/sysconfig or the YaST module /etc/sysconfig
Editor to define the display manager (also called the login manager) and
desktop session. Starting with openSUSE Leap 15.0, the values are not defined
using /etc/sysconfig anymore but with the alternatives system.

Pro změnu výchozích hodnot použijte tyto alternativy:

  • Display manager: default-displaymanager

  • Sezení Wayland: default-waylandsession.desktop

  • Sezení pracovní plochy X: default-xsession.desktop

Například pro kontrolu hodnoty default-displaymanager použijte:

tux@linux > sudo update-alternatives --display default-displaymanager

Pro přepnutí default-displaymanager na xdm použijte:

tux@linux > sudo update-alternatives --set default-displaymanager \
  /usr/lib/X11/displaymanagers/xdm

Pro správu alternativ v grafickém režimu je možné použít modul YaSTu 
Alternativy, který si nainstalujete z balíčku yast2-alternatives.

5.3 Zámek obrazovky není dostupný používáte-li GNOME Shell, ale ne GDM

Při použití GNOME Shell dohromady se správcem přihlášení jiným, než GDM, jako
je SDDM nebo LightDM, obrazovka nebude prázdná nebo zamknutá. Navíc není možné
přepnout uživatele bez odhlášení.

Abyste mohli zamykat obrazovku z GNOME Shellu, zapnětě GDM jako váš správce
přihlášení:

 1. Ujistěte se, že balíček gdm je nainstalován.

 2. Nastavení GDM jako správce obrazovky:

    tux@linux > sudo update-alternatives --set default-displaymanager \
      /usr/lib/X11/displaymanagers/gdm

 3. Restartujte.

5.4 Změna měřítka uživatelského rozhraní SDDM na počítačích s obrazovkami s
vysokým rozlišením

Výchozí správce přihlášení pro KDE, SDDM, ve výchozím nastavení nemění velikost
uživatelského rozhraní na obrazovkách s vysokým rozlišením. Pokud máte počítač
s obrazovkou High-DPI, můžete nastavit SDDM tak, aby pro tyto obrazovky změnil
velikost uživatelského rozhraní automaticky pomocí konfiguračního souboru /etc/
sddm.conf:

[X11]
EnableHiDPI=true
ServerArguments=-nolisten tcp -dpi HODNOTA_DPI

Replace DPI_VALUE with an appropriate DPI value, such as 192. For best scaling
results, use a DPI value that is a multiple of the default 96 DPI.

5.5 Změna velikosti uživatelského rozhraní YaSTu na počítačích s obrazovkami s
vysokým rozlišením

YaST ve výchozím nastavení neupravuje zvětšení svého uživatelského rozhraní pro
obrazovky s vysokým rozlišením. Pokud máte počítač s obrazovkou High-DPI,
můžete nastavit YaST tak, aby změnil velikost uživatelského rozhraní
automaticky pro danou obrazovku. Abyste tak učinili, nastavte proměnnou
prostředí QT_AUTO_SCREEN_SCALE_FACTOR=1.

5.6 V aplikacích Qt v nastaveních, kde jsou monitory jak s vysokým, tak běžným
DPI, používám automatické škálování

Qt podporuje automatické škálování na monitor na X. Pro vypočítání velikosti
písma pro primární monitor používá hodnotu DPI virtuální obrazovky X. Ve
výchozím nastavení je tato hodnota 96 DPI. Použije se relativní DPI primárního
monitoru k odvození DPI řezu písma pro všechny ostatní monitory.

Dva široce užívané monitory nepodléhají této funkci Qt a proto se tato poznámka
na ně nevztahuje:

  • GNOME will set Xft.dpi to the configured multiple of 96 DPI.

  • KDE Plasma vypíná automatické škálování Qt a používá ruční konfiguraci
    škálování.

On other desktops, this behavior of Qt can lead to undesirable situations such
as the following: If the primary display is High-DPI (>= 144 DPI), fonts in Qt
applications that request scaling, such as VLC, are effectively scaled to half
the desired size on all monitors. Applications which do not request scaling,
such as YaST (with default settings), use the same DPI value on all monitors.
Hence, they will look smaller on the High-DPI monitor.

Tento problém lze obejít jedním z těchto způsobů:

  • Jako primární použijte monitor s obvyklou hodnotou DPI. Aplikace vyžadující
    škálování budou pak na monitoru s vysokým DPI vypadat adekvátně.

  • Nastavte příslušný řez písma (font) DPI Xft.dpi. Toho dosáhnete buď
    konfiguračním programem své plochy, nebo spuštěním tohoto příkazu po každém
    přihlášení:

    tux@linux > echo Xft.dpi:HODNOTA_DPI | xrdb -nocpp -merge

    Nahraďte údaj HODNOTA_DPI příslušnou hodnotou DPI hlavního monitoru.

5.7 Sdílení obrazovek nefunguje ve Firefoxu a Chromiu na Waylandu

Normálně umožňují Firefox a Chromium webovým nástrojům, např. aplikacím
videokonferencí, sdílet celou obrazovku nebo okna jednotlivých aplikací. Tato
funkčnost není dosud uvedenými prohlížeči podporována, když pracují pod relací
Weyland.

Abyste mohli sdílet svou obrazovku ve Firefoxu či Chromiu, použijte X-relaci.

5.8 Prehrávání mediálních souborů MP3

Kodeky pro přehrávání mediálních souborů MP3 jsou dodávány jako součást
standardního repozitáře.

Chcete-li tento dekodér použiť v aplikacích a frameworcích založených na
gstreameru, ako jsou Rhythmbox nebo Totem, nainstalujte balíček
gstreamer-plugins-ugly.

5.9 Pro písmo Type-1 v LibreOffice není podpora

LibreOffice 5.3 a vyšší nepodporuje starší písma Type-1 (přípony souborů .afm a
.pfb). Většina uživatelů by tím neměla být ovlivněna, neboť jsou k dispozici
aktuální písma buď ve formátu TrueType (.ttf) nebo ve formátech OpenType
(.otf).

Jste-li tím ovlivněni, převeďte písma Type-1 na podporovaný formát (například
TrueType) a potom použijte převedená písma. Konverze je možná aplikací
FontForge (balíček fontforge), součást systému openSUSE. Informace o skriptech
na tyto konverze najdete na https://fontforge.github.io/en-US/documentation/
scripting/.

5.10 Změny vykreslování pro řez písma FreeType

Řez FreeType 2.6.4 má nový výchozí nápovědní interpret (verze 38), který je
vhodnější pro některé operační systémy, ale v jiných může vypadat „méně ostře“.
Předchozí vzhled a chování FreeType obnovíte nastavením této proměnné prostředí
na libovolné úrovni (systémové, uživatelské, programové) dle Vaší volby:

FREETYPE_PROPERTIES="truetype:interpreter-version=35"

5.11 Povolení integrace prohlížeče KDE Plasma

Integrace prohlížeče Plasma pro Firefox a Chromium/Chrome umožňuje sledování
multimédií a stahovaní pomocí systémových nástrojů KDE, a také rychlý přístup k
záložkám z lišty Spustit příkaz plochy KDE Plasma.

Integrace prohlížeče se skládá ze dvou částí, které musí spolupracovat:

  • Část náležející k programům plochy; instaluje se systémovým balíčkem 
    plasma-browser-integration.

  • Část, kterou je nutno instalovat ze sortimentu doplňků prohlížeče:

      □ Pro Firefox: https://addons.mozilla.org/firefox/addon/
        plasma-integration/

      □ Pro Chromium či Chrome: https://chrome.google.com/webstore/detail/
        plasma-integration/cimiefiiaegbelhefglklhhakcgmhkai

Pozor, tato funkce je oficiálně ve stadiu vývoje a openSUSE Leap 15.0 se dodává
s její předběžnou verzí.

5.12 Načítání psgml modulu Emacsu

Z důvodů konfliktů modulů Emacsu z výchozí instalace, openSUSE Leap 15.0 již
déle nemůže automaticky načítat modul psgml. Pro více informací vizte soubor
README z balíčku psgm.

6 Zabezpečení

Tato část uvádí změny funkcí zabezpečení v openSUSE Leap 15.0.

6.1 GPG již nepodporuje klíče GPG V3, a proto jsou v příkazu rpm Zypperu
výstrahy

openSUSE Leap 42.3 shipped with GPG 2.0, while openSUSE Leap 15.0 includes GPG
2.2. In between these GPG versions, support for GPG V3 keys was removed. If
your system's key database still contains GPG V3 keys, you may receive warnings
about this when executing Zypper or rpm commands, as these commands are
checking the integrity of the package database. These warnings take the form
warning: Unsupported version of key: V3.

Obvykle tyto výstrahy nevadí, protože tyto klíče mohly být použity v
úložištích, která už nejsou v systému povolena, nebo která už mají k dispozici
aktualizace klíčů. Jsou-li však tyto klíče stále používány v úložišti původního
vývoje, musí být nahrazeny co nejdříve:

  • Nástroje správy balíčků v openSUSE Leap 15.0 už je nemohou používat k
    ověřování integrity balíčků.

  • Ani klíče samotné nejsou bezpečné. Proto už nemůže být výsledek takové
    kontroly důvěryhodný, i když starší nástroje správy balíčků použijí tyto
    klíče k ověření integrity balíčků.

Chcete-li takové klíče odstranit, proveďte:

 1. Příkaz rpm s podrobným výstupem, který zkontrolujte:

    tux@linux > rpm -vv -qf /etc
    ufdio: 1 reads, 18883 total bytes in 0.000006 secs
    [...]
    D: read h# 168 Header sanity check: OK
    [D: čteno h# 168 Kontrola záhlaví: OK]
    warning: Unsupported version of key: V3
    [výstraha: Nepodporovaná verze klíče: V3]
    [...]

    V tomto příkladu je záhlaví 168 sdruženo se zastaralým klíčem - hned za
    zprávou o kontrole tohoto záhlaví se vypíše varování.

 2. Najděte číslo klíče sdruženého se záhlavím:

    tux@linux > rpm -q --querybynumber ZÁHLAVÍ

    Nahraďte ZÁHLAVÍ číslem požadovaného záhlaví. V tomto příkladu to bude 168.

    Příkaz oznámí identifikátor klíče, začínající gpg-pubkey-.

 3. Použijte získaný id. klíče (ID_KLÍČE) ke zjištění dalších údajů o klíči:

    tux@linux > rpm -qi ID_KLÍČE

 4. Odstraňte klíč ze systému:

    tux@linux > sudo rpm -e ID_KLÍČE

 5. Budou-li se ještě vypisovat varování při dalším použití nástrojů správy
    balíčků, opakujte předchozí postup.

6.2 systemctl stop apparmor Nefunguje

V příkazu systemctl bylo dříve možno zaměnit účinek velmi podobně nazvaných
podpříkazů reload a restart na AppArmor:

  • systemctl reload apparmor správně znovu zavede všechny profily pro
    AppArmor. (To je stále doporučený způsob znovuzavedení profilů AppArmor.)

  • systemctl restart apparmor zastavil AppArmor, takže uvolnil všechny profily
    AppArmor a pak restartoval, což ponechalo všechny existující procesy
    nepřipoutané (nekonfinované). Znovu připoutané pak byly jen nově spuštěné
    procesy.

systemd bohužel ve formátu souboru své jednotky nenabízí řešení problémů
vyvolaných scénářem restart.

Počínaje AppArmor verzí 2.12 nebude příkaz systemctl stop apparmor fungovat. V
důsledku toho pak nyní příkaz systemctl restart apparmor nyní korektně
znovuzavede profily AppArmor.

Pro uvolnění všech profilů AppArmor použijte nový příkaz aa-teardown, který
přebírá předchozí chování příkazu systemctl stop apparmor.

For more information, see https://bugzilla.opensuse.org/show_bug.cgi?id=996520
and https://bugzilla.opensuse.org/show_bug.cgi?id=853019.

7 Technické

7.1 Aktualizované rozložení podsvazku Btrfs

openSUSE Leap 15.0 zavádí nový výchozí rozvrh podsvazku Btrfs sloužící k:

  • zjednodušení snímků stavu a obnov

  • zábraně náhodné ztráty dat

  • lepší výkonnosti databází a zobrazení virtuálů uložených ve /var

Místo použití více podsvazků Btfrs pro různé podadresáře /var se openSUSE Leap
15.0 dodává s jediným podsvazkempro celý /var. Tento nový podsvazek má vypnutou
funkci copy-on-write (zápis s kopií).

Žádný způsob upgradu na toto nové rozvržení podsvazku Btfrs není definován.
Chcete-li tedy využít jeho výhod, musíte místo upgradu provést novou instalaci
openSUSE Leap 15.0.

Pro více informací o výchozím rozvrhu podsvazku Btfrs před a po této změně viz
http://en.opensuse.org/SDB:BTFRS.

7.2 Wicked: Using RFC 4361 DHCPv4 client-id on Ethernet

RFC 4361 aktualizuje client-id definovaný v RFC 2132, sekce 9.14, aby byl
kompatibilní s DHCP 6 client-id (duid). Použití RFC 4361 je povinné pro
Infiniband (RFC 4390) a požaduje se i aktualizovat záznamy DNS v téže zóně pro
adresy DHCP 4 a DHCP 6 i na síti Ethernet.

V openSUSE Leap 15.0:

  • Server ISC DHCP 4.3.x podporuje nový RFC 4361 (požadovaný pro aktualizaci
    DNS)

  • Wicked dává možnost poslat takový client-id a automaticky použít client-id
    typu DHCPv6 také u DHCPv4 (jak je používán v Infiniband).

Chcete-li během instalace poslat client-id, použijte linuxrc (viz též https://
en.opensuse.org/SDB:Linuxrc) s následným ifcfg:

ifcfg=eth0=dhcp,DHCLIENT_CLIENT_ID=01:03:52:54:00:02:c2:67,DHCLIENT6_CLIENT_ID=00:03:52:54:00:02:c2:67

Další informace najdete v dokumentaci možností dhcp4 "create-cid", dhcp6
"default-duid" v man 5 wicked-config, wicked duid --help a wicked iaid --help.

Tradičně používaný client-id DHCPv4 na síti Ethernet podle RFC 2132 je
konstruován z typu hardwaru (01 pro Ethernet), který je následován hardwarovou
adresou (MAC adresa), např.:

01:52:54:00:02:c2:67

client-id podle RFC 4361 začíná 0xff (místo typu hardwaru) a je následován
DHCPv6 IAID (ID asociace adresy rozhraní, popisující rozhraní stroje) a dále
DHCPv6 DUID (client-id, který identifikuje stroj).

Za použití uvedeného, na typu a adrese hardwaru založeného DUID (výchozí typ je
LLT - link local a čas) bude nový client-id podle DHCPv4 RFC4361:

  • Použití posledních bytů adresy MAC jako IAID:
    ff:00:02:c2:67:00:01:xx:xx:xx:xx:52:54:00:02:c2:67

  • Je-li IAID prosté přírůstkové číslo:
    ff:00:00:00:01:00:01:xx:xx:xx:xx:52:54:00:02:c2:67

xx:xx:xx:xx v DUID-LLT je časové razítko okamžiku vytvoření. DUID-LL
(00:03:00:01:MAC) nemá časové razítko.

8 Více informací a zpětná vazba

  • Čtěte dokumenty README z média.

  • Zobrazte si podrobné údaje o změnách určeného balíčku z jeho souboru RPM:

    tux@linux > rpm --changelog -qp NÁZEV_SOUBORU.rpm

    Nahraďte NÁZEV_SOUBORU názvem souboru RPM.

  • Chronologický záznam všech změn v aktualizovaných balíčcích najdete v
    souboru ChangeLog v kořenovém adresáři tohoto média.

  • Další informace najdete na médiu v adresáři docu.

  • Další nebo aktualizovanou dokumentaci najdete na https://doc.opensuse.org/.

  • Poslední novinky (od openSUSE) o produktu najdete na https://
    www.opensuse.org.

Copyright © SUSE LLC

© 2019 SUSE

