openSUSE 11.3 Release Notes

Copyright © 2010 Novell, Inc.

この文書を、フリーソフトウエア財団発行の GNU フリー文書利用許諾契約書(バージョン1.2かそれ以降から一つを選択)が定める条件の下で複製、頒布、あるいは改変することを許可する。変更不可部分、表カバーテキスト、裏カバーテキストは存在しない。この利用許諾契約書の複製物はファイル fdl.txt に含まれている。

The release notes are under constant development. Download the newest version as part of the Internet test or refer to http://www.suse.com/relnotes/i386/openSUSE/11.3/RELEASE-NOTES.en.html.

このリリースノートでは、次の分野に関する情報を掲載しています。

インストール
  1. N/A
全般
  1. openSUSE ドキュメンテーション
  2. LXDE—a New Desktop Environment
システムアップグレード
  1. Samba: smbfs サービスの cifs への名前変更
  2. Incompatible IPsec and strongSwan Changes
テクニカル
  1. KMS (カーネルモード設定) を利用したグラフィック初期化
  2. Samba: mount.cifs の setuid root 無効化
  3. SSH Public Key Authentication

インストール

N/A

全般

openSUSE ドキュメンテーション

LXDE—a New Desktop Environment

LXDE provides a lightweight desktop environment for old and obsolete computers with limited hardware resources.

pcmanfm and libfm (LXDE File Manager and its main library) are released as RC1 versions and will get updated with the official updates (stable versions) as soon as possible.

システムアップグレード

Samba: smbfs サービスの cifs への名前変更

このようになってからかなりの時間が経過してしまいましたが、 smbfs はもはやカーネルには含まれなくなっています。 cifs コンポーネントが smbfs の代替です。サービス名の混乱を防ぐため、それぞれ下記のように名前を変更することにしました。

samba-client パッケージがインストールされているシステムをアップグレードする際、必要であればいったんサービスの状態を保存し、 /etc/samba/smbfstab の内容を /etc/samba/cifstab に移行してからサービス状態を復元します。

Incompatible IPsec and strongSwan Changes

The "sha256"/"sha2_256" keywords now configure the kernel with 128-bit truncation, not the non-standard 96-bit truncation used by previous releases. If you depend on the 96-bit truncation scheme, use the new "sha256_96" keyword—this might be necessary, if you want to establish a connection with an old kernel (openSUSE 11.2 or earlier).

In those case modify the connection settings to the old and non-standard 96-bit truncation in the ipsec.conf of the new system:

esp=aes128-sha256_96

There is also an incompatible strongSwan change. IPComp in tunnel mode was fixed to strip out the duplicated outer header. This change makes IPComp tunnel mode connections incompatible with previous releases. Disable compression on such tunnels.

テクニカル

KMS (カーネルモード設定) を利用したグラフィック初期化

openSUSE 11.3 では、 Intel, ATI, NVIDIA 社製のグラフィックコントローラをお使いの場合、既定で KMS (カーネルモード設定) を利用するようになりました。 KMS ドライバ (intel, radeon, nouveau) をご利用の際に何らかの問題が発生した場合は、カーネルの起動コマンドラインに nomodeset を追加して KMS を無効化してください。恒久的に設定したい場合は、 /boot/grub/menu.lst ファイル内に上記のキーワードを追加してください。このオプションを設定すると、 initrd 内のカーネルモジュール (intel, radeon, nouveau) について、 modeset=0 のオプションが追加されるようになります。

DRM モジュールを initrd から読み込む場合、まれに KMS とは無関係の原因で問題が発生する場合があります。このような場合は、 initrd 内で完全に DRM モジュールを読み込まないように設定することもできます。これを行なうには、 YaST を利用して sysconfig の設定を編集し、 NO_KMS_IN_INITRD の値を yes に設定してください。設定を行なった後 initrd を作成し直してからコンピュータを再起動すると、設定が反映されます。

On Intel without KMS the Xserver falls back to the fbdev driver (the intel driver only supports KMS); alternatively, there is the "intellegacy" driver (xorg-x11-driver-video-intel-legacy package) which still supports UMS (User Mode Setting). To use it, edit /etc/X11/xorg.conf.d/50-device.conf and change the driver entry to intellegacy.

On ATI for current GPUs it falls back to radeonhd. On NVIDIA without KMS the nv driver is used (the nouveau driver only supports KMS).

Samba: mount.cifs の setuid root 無効化

Samba/CIFS の共有をマウントするのに利用する mount.cifs プログラムは、 setuid root プログラムとして許可されないようになりました。 mount.cifs はこれを setuid root プログラムとして利用する際にセキュリティバグが存在していることが判明していますが、ディストリビューション添付の smb4k などのツールは mount.cifs が setuid root であることを求めています。そのため、このようなツールを利用するユーザに対しては setuid ビットを設定できるような余地を残しておくものとしますが、適切なセキュリティ監査が行なわれていない理由により、 Samba チームは現時点で、インストール時に setuid root プログラムとしてインストールしないよう強く推奨しています。

この推奨に従い、本リリースでは mount.cifs を setuid root プログラムとして実行する機能が無効化されています。 CIFS_DISABLE_SETUID_CHECK1 に設定することで暫定的に本推奨を無視することができますが、危険を覚悟のうえお使いください。

このプログラムのセキュリティ監査と再設計については、現在 Samba チームで作業中です。

SSH Public Key Authentication

In /etc/ssh/sshd_config relative paths are no longer allowed. When pointing to the authorized_keys file, use %h/ in front of the path. Otherwise logging in using SSH Public Key Authentication will fail with openSSH 5.4 and later.

Example:

PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys