随着 shadow >= 4.14.0 更新, Arch Linux 的默认密码哈希算法由 SHA512 变更为 yescrypt。
另外,umask 配置现在需要在 /etc/login.defs 中配置而不是在 /etc/profile 中。
这个改动应该不需要用户作任何手动干预。
使用 yescrypt 的理由
我们选择了基于密码的密钥推导函数 (KDF) 和密码哈希方案 yescrypt,因为它被 libxcrypt 所采用 (已经可以在 libxcrypt 中使用,libxcrypt 由 pam 使用),并且相较于 SHA512,yescrypt 对密码爆破有着更好的抵御能力。
虽然密码哈希竞赛的胜者是 argon2,但是这个算法目前还没有被 libxcrypt 采用 (第一次尝试,第二次尝试)。
配置 yescrypt
在 pam 实现对 /etc/login.defs 中的 YESCRYPT_COST_FACTOR 配置项的读取之前,该配置项没有任何作用。如果你需要为 YESCRYPT_COST_FACTOR 配置一个高于(或低于)默认值(5)的数值,那么你可以将其配置为使用 pam_unix 模块的 rounds 选项 ( 例如在 /etc/pam.d/system-auth 中)。
总体变更列表
- yescrypt 替代 SHA512 作为默认使用的密码哈希算法
- pam 会尊重在 /etc/login.defs 被选中的 ENCRYPT_METHOD 并且不会再覆盖被选中的方法
- filesystem (>= 2023.09.18) 和 pambase (>= 20230918) 中的改动确保了 umask 会在 /etc/login.defs 中被集中地配置而不再是在 /etc/profile 中
从 ansible-core 2.15.3 起,上游将文档和示例代码放到了单独的专用仓库 (参见相关变更记录)。
这意味着从 2.15.3 版本开始, ansible-core 包将不再打包文档和 /etc/ansible/ansible.cfg 下的默认配置样例。
关于文档,可以在线查阅:https://docs.ansible.com/
关于配置文件,如 wiki 上说明的,基本配置可以用以下命令生成:
ansible-config init --disabled > ansible.cfg
在从 <= 2.15.2-1 之前的版本升级到 2.15.3-1 之后版本的 ansible-core 之后,所有位于 /etc/ansible/ansible.cfg 的自定义全局 ansible 配置文件会变成 pacsave 文件。
要恢复它,请运行以下命令:
mv /etc/ansible/ansible.cfg.pacsave /etc/ansible/ansible.cfg
当从 budgie-desktop 10.7.2-5 更新到版本 10.7.2-6 时,需要用 magpie-wm 包替代 mutter43 包,前者目前依赖 mutter 包。因为 mutter43 和 mutter 冲突,必须手动干预以完成更新。
首先删除 mutter43 ,然后紧接着进行更新。请勿在这两个步骤之间重新登入或重启。
pacman -Rdd mutter43
pacman -Syu
本周五(2023-05-19)早晨开始至本周日(2023-05-21)我们将进行 Git 的打包迁移。整个 Arch Linux 打包组将无法在这期间内更新任何软件仓库中的软件包。
关于迁移进展何时开始何时结束的通知将发布在 [arch-dev-public] 邮件列表。
这会对 Arch Linux 用户有何影响?
首先 [testing] 仓库会被分成 [core-testing] 和 [extra-testing] ,同样 [staging] 仓库会被分成 [core-staging] 和 [extra-staging] 。然后 [community] 仓库会合并入 [extra] ,因此前者在迁移后会变成空的。
所有受影响的仓库在迁移后的一段时间内会保持空仓库的状态。这意味着对普通用户而言,所有东西都应该像往常一样继续工作。
注意: 在迁移后,开启了 testing 仓库的用户需要在更新系统之前,在 pacman.conf 中改用 [core-testing] 和 [extra-testing] 仓库。
伴随的其它变更:
这会对 Arch Linux tier1 镜像站有何影响?
迁移期间 rsync 和 HTTP 访问会关闭。所有工作完成之后我们会向 arch-mirrors 发送邮件通知。
这会对 Arch Linux 打包者有何影响?
打包者不能更新和修改他们的软件包。内部用的 tier0 镜像也会在迁移期间停止访问。
从2月2日开始,以前的 base-devel 包组(package group)被替换成了同名的元包(metapackage)。
如果在此之前你装过 base-devel 包组(package group),请在系统中显式地再安装一次新的 base-devel 元包(metapackage):
pacman -Syu base-devel
php 包已经更新到最新版 8.2 。随着这次更新,我们同时引入了一系列 php-legacy 包。这些包将跟随 还在受支持的版本中最旧的 PHP 版本分支。这么做允许用户安装最新版本的同时,仍然可以使用依赖老版本的第三方应用程序。两个分支都将遵循我们的滚动更新模型保持更新。 php 和 php-legacy 可以被同时安装,因为后者在它的二进制和配置文件中使用 -legacy 后缀区分。
除此之外, php7 包已经被移除,因为它们已经超过了生命周期。还有不再提供 imap 扩展,因为它依赖早已被废弃多年的 c-client 库。
Arch Linux 社区缅怀突然辞世的 Jonathon Fernyhough ,在我们社区中通常以 jonathon 的名字贡献,在周六夜间与世长辞。
Jonathon 曾活跃地参与和贡献了 Arch Linux 、数个衍生发行版、AUR和个人仓库。他的热情、乐于助人和积极贡献改进了整个自由开源软件社区。
代表整个 Arch Linux 社区,我们向他的家人和朋友致以哀悼。
Python 2 已于 2020 年 1 月结束了生命。我们一直在积极地减少软件仓库中对 python2 依赖的项目数量,终于到了最后能从我们的发行版中移除掉它的时候了。如果你的系统中仍然安装着 python2 请考虑删除掉它和所有 python2 的包。
如果你还需要使用 python2 包当然可以还留着,但是请注意它不再会收到安全更新。如果你需要打补丁的版本,请考虑使用 AUR 或者 非官方的第三方仓库。
作为抛弃已经EOL的Python2工作的一部分,我们从 mailman2 迁移到了 mailman3 。
为了保持 DKIM 签名完整,我们已经关掉了改写 “From” 邮件头和主题(附加上列表名)的功能。这意味着想要回复邮件列表的时候,必须使用“回复邮件列表”功能,以及你可能需要更新你的过滤规则以匹配新的”From” 邮件头。
过去订阅过邮件列表的邮箱已经迁移到新的列表,不需要重新订阅。不过要管理你的订阅设置,必须重新注册新的 mailman3 账户。
grub 包最近的变化给 fwsetup 命令增加了新的命令参数,改变了生成出的引导配置中调用命令的方式。根据你的硬件和设置这可能导致系统不能引导,因为安装的引导器和配置文件之间不兼容。在 grub 包升级之后,我们建议重新运行以下命令,安装和再次生成配置:
grub-install ...
grub-mkconfig -o /boot/grub/grub.cfg
关于 grub-install 的具体用法请参考 wiki 页面:GRUB – ArchWiki
