openSUSE 11.3 Release Notes

Copyright © 2010 Novell, Inc.

Het is toegestaan om dit document te kopiëren, verspreiden en/of te wijzigen onder de voorwaarden van de GNU Free Documentation License, versie 1.2 of een latere versie, gepubliceerd door de Free Software Foundation, zonder invariante secties en zonder omslagteksten, zowel voor- als achterzijde. Een kopie van de licentie is bijgevoegd in het bestand fdl.txt.

The release notes are under constant development. Download the newest version as part of the Internet test or refer to http://www.suse.com/relnotes/i386/openSUSE/11.3/RELEASE-NOTES.en.html.

Deze uitgavenotities beslaat de volgende gebieden:

Installatie
  1. N.v.t.
Algemeen
  1. openSUSE documentatie
  2. LXDE—a New Desktop Environment
Systeemopwaardering
  1. Samba: smbfs-service hernoemd tot cifs
  2. Incompatible IPsec and strongSwan Changes
Technisch
  1. Grafische systeem initialiseren met KMS (Kernel Mode Setting)
  2. Samba: mount.cifs is niet langer setuid root
  3. SSH Public Key Authentication

Installatie

N.v.t.

Algemeen

openSUSE documentatie

LXDE—a New Desktop Environment

LXDE provides a lightweight desktop environment for old and obsolete computers with limited hardware resources.

pcmanfm and libfm (LXDE File Manager and its main library) are released as RC1 versions and will get updated with the official updates (stable versions) as soon as possible.

Systeemopwaardering

Samba: smbfs-service hernoemd tot cifs

Sinds enige tijd is smbfs niet langer onderdeel van de kernel. De cifs-component heeft het vervangen. Om verwarring te vermijden met de naam van de service, hebben we het uiteindelijk overeenkomstig hernoemd.

Bij het opwaarderen van een systeem met een geïnstalleerd samba-client pakket zal de status van de service worden opgelsagen, /etc/samba/smbfstab wordt gemigreerd naar /etc/samba/cifstab en de status van de service hersteld, indien vereist.

Incompatible IPsec and strongSwan Changes

The "sha256"/"sha2_256" keywords now configure the kernel with 128-bit truncation, not the non-standard 96-bit truncation used by previous releases. If you depend on the 96-bit truncation scheme, use the new "sha256_96" keyword—this might be necessary, if you want to establish a connection with an old kernel (openSUSE 11.2 or earlier).

In those case modify the connection settings to the old and non-standard 96-bit truncation in the ipsec.conf of the new system:

esp=aes128-sha256_96

There is also an incompatible strongSwan change. IPComp in tunnel mode was fixed to strip out the duplicated outer header. This change makes IPComp tunnel mode connections incompatible with previous releases. Disable compression on such tunnels.

Technisch

Grafische systeem initialiseren met KMS (Kernel Mode Setting)

Met openSUSE 11.3 schakelen we om naar KMS (Kernel Mode Setting) voor Intel, ATI en NVIDIA grafische systemen, wat nu onze standaard is. Als u problemen tegen komt met de ondersteuning van het KMS apparaatstuurprogramma (intel, radeon, nouveau), schakel KMS dan uit door toe te voegen nomodeset aan de commandoregel van de kernel boot. Om dit permanent in te stellen, voeg het toe aan de commandoregel van de kernel in /boot/grub/menu.lst. Deze optie verzekert dat de juiste kernelmodule (intel, radeon, nouveau) wordt geladen met modeset=0 in initrd, dwz. KMS is uitgeschakeld.

In zeldzame gevallen bij het laden van de DRM-module uit initrd bevat een algemeen probleem, niet gerelateerd aan KMS, is het zelfs mogelijk om het laden van de DRM-module volledig uit te schakelen in initrd. Stel hiervoor de NO_KMS_IN_INITRD sysconfig-variabele in op yes via YAST, die dan later initrd opnieuw aanmaakt. Herstart uw machine.

On Intel without KMS the Xserver falls back to the fbdev driver (the intel driver only supports KMS); alternatively, there is the "intellegacy" driver (xorg-x11-driver-video-intel-legacy package) which still supports UMS (User Mode Setting). To use it, edit /etc/X11/xorg.conf.d/50-device.conf and change the driver entry to intellegacy.

On ATI for current GPUs it falls back to radeonhd. On NVIDIA without KMS the nv driver is used (the nouveau driver only supports KMS).

Samba: mount.cifs is niet langer setuid root

Het mount.cifs programma dat wordt gebruikt om Samba/CIFS shares aan te koppelen zal niet worden toegestaan om als een setuid-root-programma te worden uitgevoerd. mount.cifs is onderwerp van verschillende beveiligingsbugs die zich hebben voorgedaan omdat sommige gebruikers het als een setuid-root-program gebruiken. Omdat bijvoorbeeld hulpmiddelen als smb4k in de distributie vereisen dat mount.cifs setuid-root is. Er is dus een kans dat gebruikers van zulke hulpmiddelen het setuid-bit instellen. Dit programma is niet een juiste audit op beveiliging ondergaan en het Samba-team beveelt sterk aan dat het op dit moment niet wordt geïnstalleerd als een setuid-root-programma.

Om heel duidelijk te zijn, deze uitgave schakelt zonder meer de mogelijkheid uit voor mount.cifs voor uitvoeren als een setuid-root-programma. Iedereen is welkom om dit eenvoudig uit te schakelen, door CIFS_DISABLE_SETUID_CHECK in te stellen op 1, maar zij doen dat op eigen verantwoording.

Een audit op beveiliging en een opnieuw ontwerpen van dit programma is bezig door het Samba-team.

SSH Public Key Authentication

In /etc/ssh/sshd_config relative paths are no longer allowed. When pointing to the authorized_keys file, use %h/ in front of the path. Otherwise logging in using SSH Public Key Authentication will fail with openSSH 5.4 and later.

Example:

PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys