预计阅读时间:5 分钟
Debian 13(trixie)稳定版迎来了第五次点版本更新——13.5。这类更新不重写发行版本身,只替换存在安全漏洞或严重缺陷的软件包。对于已经在跑 trixie 的服务器和工作站,意义很直接:升级即修复,无需重新安装。
点版本更新到底改了什么
Debian 的点版本发布(13.1 → 13.2 → … → 13.5)本质上是把过去几周单独发布的安全公告(DSA)和严重缺陷修复(bug fix)汇总进官方仓库镜像,同步更新安装介质。换句话说:
- 你如果一直在
apt upgrade,这些补丁大概率已经到手了,点版本只是"正式盖章"。 - 新安装的用户用 13.5 的 ISO,能一次性装上已修补的版本,减少首次更新量。
- 旧的 trixie 安装介质仍然可用,装完再
apt upgrade即可。
检查你当前的状态
先确认自己跑的是哪个小版本:
# 查看完整的 Debian 版本信息
cat /etc/debian_version
# 或者用更结构化的方式
lsb_release -a
# 只看代号和版本号
cat /etc/os-release | grep -E 'VERSION=|VERSION_CODENAME='
预期输出类似:
13.5
VERSION="13 (trixie)"
VERSION_CODENAME=trixie
如果显示 13.4 或更早,说明你还没拉到最新补丁。
升级到 13.5 的实操步骤
对于已有系统,升级过程和日常更新一致:
# 1. 刷新仓库索引
sudo apt update
# 2. 查看待更新的包列表(先看再动)
apt list --upgradable
# 3. 执行升级——安全补丁通常不会引入破坏性变更
sudo apt upgrade -y
# 4. 如果有涉及内核或 systemd 的更新,重启生效
sudo reboot
如果你管理的是生产服务器,把 -y 去掉,逐条审查更稳妥。安全修复类更新一般风险极低,但涉及 libc、openssl、内核等核心包时,重启窗口需要提前规划。
验证补丁是否到位
点版本发布后,Debian 官方会列出本次更新的软件包清单。你可以对照检查关键包的版本:
# 查看某个包的当前版本和来源仓库
apt show openssl | grep -E 'Version: |APT-Sources:'
# 批量检查本次可能涉及的核心安全包
for pkg in openssl libssl3 openssh-server openssh-client linux-image-amd64; do
echo "$pkg: $(dpkg-query -W -f='${Version}' $pkg 2>/dev/null || echo '未安装')"
done
新安装用户的注意事项
如果你准备全新部署 trixie,直接下载 13.5 的 ISO 能省下首次大更新。但旧的 13.0~13.4 介质完全可用——安装完成后跑一遍上面的升级流程即可,结果一致。
# 下载 13.5 ISO 后,校验完整性(示例用 SHA-256)
sha256sum --check SHA256SUMS <<< "$(grep debian-13.5.0-amd64-netinst.iso SHA256SUMS | head -1)"
校验文件通常和 ISO 在同一下载目录,名字叫 SHA256SUMS 或 SHA256SUMS.sign。别跳过这一步,镜像站偶有传输损坏。
升级决策清单
| 场景 | 建议 |
|---|---|
已在跑 trixie 且定期 apt upgrade |
无需额外操作,补丁已包含在常规更新中 |
| trixie 服务器但更新间隔较长 | 尽快 apt upgrade,安全补丁不宜拖延 |
| 准备新装 trixie | 用 13.5 ISO 减少首装后更新量 |
| 仍在用 Debian 12 (bookworm) | 13.5 不影响你,关注 bookworm 自己的点版本 |
点版本更新看似平淡,但安全修复的累积效应不可忽视。保持仓库索引刷新、定期升级,是 Debian 稳定版用户最省心的运维习惯。