IPFire è un sistema operativo open source che è stato progettato da zero per fungere da sistema firewall dedicato, sicuro e flessibile basato su alcune delle migliori tecnologie Linux, come iptables, OpenSSL e OpenSSH.
Distribuito come immagine ISO a 32 bit
Questo piccolo sistema operativo può essere scaricato tramite Softoware o dal suo sito Web ufficiale (vedi link sopra) come un'unica immagine CD ISO installabile di circa 150 MB di dimensione, contrassegnata solo per l'architettura del set di istruzioni a 32 bit (i586). Mentre la distro si avvierà e installerà su piattaforme hardware a 64 bit, accetterà solo applicazioni a 32 bit.
Opzioni di avvio
Il menu di avvio ben progettato e ben organizzato ti consentirà di installare la distribuzione direttamente e permanentemente su un'unità locale. Inoltre, sarai in grado di installare il sistema operativo in modalità testo, eseguire un'installazione automatica, eseguire un test di diagnostica della memoria con l'utility Memtest86 +, nonché visualizzare informazioni hardware dettagliate con l'Hardware Detection Tool (HDT).
Programma di installazione in modalità testo molto facile da usare
L'intero processo di installazione è basato sul testo e richiede all'utente di selezionare solo una lingua (le lingue supportate includono inglese, turco, polacco, russo, olandese, spagnolo, francese e tedesco), accettare la licenza e partizionare il disco (i filesystem supportati includono EXT2, EXT3, EXT4 e ReiserFS).
Dopo l'installazione, è necessario selezionare un layout di tastiera e un fuso orario, inserire il nome host e il nome di dominio della macchina, inserire una password per l'amministratore di sistema (root) e amministratore, oltre a configurare la rete ( include le impostazioni DNS, Gateway, Indirizzo IP, Driver e scheda di rete).
Linea di fondo
Riassumendo, IPFire è una delle migliori distribuzioni di firewall open source di Linux, progettata per fornire firewall all'avanguardia, componenti gateway VPN e server proxy. Il suo design è modulare e flessibile, il che significa che la sua funzionalità può essere estesa tramite plugin.
Novità in questa versione:
- Proxy solo RAM:
- In alcune installazioni potrebbe essere opportuno lasciare solo il proxy per memorizzare gli oggetti nella memoria e non sul disco. Soprattutto quando la connettività Internet è veloce e l'archiviazione è lenta, questo è molto utile.
- L'interfaccia utente Web ora consente di impostare la dimensione della cache del disco su zero che disabilita completamente la cache del disco. Grazie a Daniel per aver lavorato su questo.
- OpenVPN 2.4:
- IPFire è migrato su OpenVPN 2.4 che introduce nuovi algoritmi della classe AES-GCM che aumenteranno il throughput su sistemi con accelerazione hardware. L'aggiornamento porta anche altri miglioramenti minori.
- Erik ha lavorato all'integrazione, questo ha richiesto un po 'di lavoro sotto il cofano, ma è compatibile con qualsiasi configurazione precedente sia per le connessioni roadwarrior che per le connessioni net-to-net.
- Crittografia migliorata:
- La crittografia è una delle basi per un sistema sicuro. Abbiamo aggiornato la distribuzione per utilizzare l'ultima versione della libreria di crittografia OpenSSL (versione 1.1.0). Questo viene fornito con una serie di nuovi cifrari e sono state condotte importanti rielaborazioni del codice base.
- Con questa modifica, abbiamo deciso di deprecare completamente SSLv3 e l'interfaccia utente web richiederà TLSv1.2, che è anche l'impostazione predefinita per molti altri servizi. Abbiamo configurato una lista di cifrature avanzata che utilizza solo algoritmi recenti e rimuove completamente algoritmi rotti o deboli come RC4, MD5 e così via.
- Controlla prima di questo aggiornamento se stai facendo affidamento su uno di questi e aggiorna i tuoi sistemi dipendenti.
- Vari pacchetti in IPFire dovevano essere riparati per poter usare la nuova libreria. Questo importante lavoro era necessario per fornire IPFire con la più recente crittografia, migrare lontano da algoritmi deprecati e sfruttare la nuova tecnologia. Ad esempio, è disponibile la cipresuite ChaCha20-Poly1305 che offre prestazioni più rapide sui dispositivi mobili.
- La vecchia versione della libreria OpenSSL (1.0.2) è ancora lasciata nel sistema per ragioni di compatibilità e continuerà a essere mantenuta da noi per un breve periodo. Alla fine, questo verrà rimosso completamente, quindi ti preghiamo di migrare eventuali componenti aggiuntivi personalizzati dall'utilizzo di OpenSSL 1.0.2.
- Varie:
- Pakfire ha ora scoperto quali server mirror supportano HTTPS e li contatteranno automaticamente su HTTPS. Ciò migliora la privacy.
- Abbiamo anche avviato la prima fase del nostro rollover di chiavi Pakfire pianificato.
- Path MTU Discovery è stato disabilitato nel sistema. Ciò ha creato continuamente problemi con la stabilità dei tunnel IPsec che hanno scelto percorsi su reti che erano configurate in modo errato.
- Il modello QoS potrebbe calcolare male la larghezza di banda che è stata ora fissata per cui la somma della larghezza di banda garantita su tutte le classi non supera il 100%
- Pacchetti aggiornati:
- binding 9.11.3, curl 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotate 3.14.0, Net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, non associato 1.7.0, vnstat 1.18
- Add-ons:
- Questi componenti aggiuntivi sono stati aggiornati: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2
Novità della versione nella versione:
- OpenSSL 1.0.2n:
- Una vulnerabilità moderata e una bassa sicurezza sono state corrette in OpenSSL 1.0.2n. Il servizio di sicurezza ufficiale può essere trovato qui.
- IPsec:
- Ora è possibile definire il timeout di inattività quando viene chiuso un tunnel VPN IPsec inattivo
- Il supporto per i gruppi MODP con sottogruppi è stato eliminato
- La compressione ora è disabilitata perché non è affatto efficace
- strongswan è stato aggiornato alla 5.6.1
- OpenVPN:
- Ora è più semplice instradare i client OpenVPN Roadwarrior alle reti VPN IPsec scegliendo le rotte nella configurazione di ciascun client. Ciò rende i progetti hub-and-spoke più facili da configurare.
- Crea toolchain:
- Alcuni script di build sono stati rifattorizzati per ripulire il processo di compilazione e la toolchain è stata spostata da / tools a / tools_ & lt; arch & gt;.
- nasm, Net Assembler, è stato aggiornato alla 2.13.2
- Varie:
- La compressione SSL e i ticket delle sessioni SSL sono stati disabilitati in Apache. Ciò migliorerà la sicurezza dell'interfaccia utente web.
- In vari luoghi, le informazioni GeoIP sono disponibili dove vengono mostrati gli indirizzi IP e che è utile sapere informazioni
- L'aggiunta di route statiche all'interfaccia utente web è stata corretta li>
- Alcuni problemi estetici sulle pagine di configurazione del captive portal sono stati corretti e il captive portal ora sta lavorando insieme al proxy in modalità trasparente
- È ora possibile configurare Syslogging su un server di rimozione per utilizzare TCP o UDP
- Add-ons:
- Samba è stato aggiornato per risolvere diversi problemi di sicurezza
- mc è stato aggiornato alla 4.8.20
- nano è stato aggiornato alla 2.9.1
- sslscan, vsftpd e Pound sono stati eliminati perché non sono più mantenuti upstream e incompatibili con OpenSSL 1.1.0
Novità nella versione 2.19 Core 116 / 3.0 Alpha 1:
- openssl 1.0.2m:
- Il progetto OpenSSL ha rilasciato la versione 1.0.2m e ha emesso due avvisi di sicurezza nell'ultima settimana. Le due vulnerabilità scoperte erano di moderata e bassa sicurezza, ma abbiamo deciso di inviarti questo aggiornamento il prima possibile. Quindi si raccomanda di aggiornarlo il prima possibile.
- La vulnerabilità più grave citato come CVE-2017-3736 risolve un problema con i moderni processori Intel Broadwell e AMD Ryzen in cui OpenSSL utilizza alcune moderne estensioni DMI1, DMI2 e ADX e calcola la radice quadrata in modo errato. Questo potrebbe essere sfruttato da un hacker che è in grado di mettere risorse significative per recuperare una chiave privata più facilmente, purtroppo questo attacco è ancora considerato praticamente irrealizzabile dal team di sicurezza di OpenSSL.
- La vulnerabilità meno grave è stata causata dalla sovrascrittura dei dati del certificato quando un certificato ha un'estensione IPAddressFamily malformata. Ciò potrebbe comportare l'errata visualizzazione del certificato in formato testo. Questa vulnerabilità è tracciata in CVE-2017-3735.
- Varie:
- wget ha anche sofferto di due vulnerabilità di sicurezza che consentivano a un utente malintenzionato di eseguire codice arbitrario. Sono indicati sotto CVE-2017-13089 e CVE-2017-13090.
- apache è stato aggiornato alla versione 2.4.29 che corregge un numero di bug.
- snort è stato aggiornato alla versione 2.9.11.
- xz è stato anche aggiornato alla versione 5.2.3 che apporta vari miglioramenti.
Novità nella versione 2.19 Core 113 / 3.0 Alpha 1:
- Chi è online?
- Chi è online? (o WIO in breve) è finalmente arrivato su IPFire. È stato realizzato dall'autore originale Stephan Feddersen e Alex Marx ed è disponibile come un normale pacchetto aggiuntivo chiamato wio.
- È un servizio di monitoraggio integrato per la rete locale che mostra quali dispositivi sono connessi, quali sono online e possono anche inviare allarmi su vari eventi. Fai un tentativo!
- Varie:.
- Le chiavi root DNS sono state aggiornate per far funzionare il DNS oltre ottobre 2017 dopo che è stato eseguito il rollover della chiave DNSSEC
- Le console seriali ora rilevano automaticamente il baudrate dopo che il kernel è stato avviato
- Aggiornamenti del pacchetto di Matthias Fischer: bind 9.11.2, gnutls 3.5.14, libgcrypt 1.8.0, logrotate 3.12.3, nano 2.8.6, pcre 8.41, calamaro 3.5.26, non limitato 1.6.4
- Add-Ons:
- iftop è stato aggiornato a 1.0pre4 da Erik Kapfer
- Matthias Fischer aggiornato: hostapd 2.6, per 0.3.0.10
Novità nella versione 2.19 Core 112 / 3.0 Alpha 1:
- Questo aggiornamento principale viene fornito principalmente con aggiornamenti sotto il cofano. Le librerie di sistema principali sono state aggiornate alle nuove versioni principali e la toolchain di compilazione ha ricevuto aggiornamenti importanti.
- Questi sono:
- glibc 2,25
- Raccolta compilatore GNU 6.3.0
- binutils 2.29
- Python 2.7.13
- ccache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, fusibile 2.9.7, boost 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, libarchive 3.3.1 , libgcrypt 1.7.7, libgpg-error 1.27, libxml2 2.9.4, mdadm 4.0, openssl 1.0.2l, pkg-config 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, calamaro 3.5.26, strongswan 5.5.3 , non associato 1.6.3, util-linux 2.28.2
- Varie:
- openvpn (2.3.17) ha ricevuto alcuni aggiornamenti di sicurezza che sono stati scoperti di recente.
- È stata chiusa una vulnerabilità di esecuzione dei comandi remoti in ids.cgi che potrebbe essere utilizzata dagli utenti autenticati per eseguire comandi di shell con diritti non superutente.
- Ora è possibile creare reti nel firewall che sono una sottorete di una qualsiasi delle zone interne.
- Anche la toolchain e gli script di build sono stati ripuliti e migliorati.
- IPFire netboot è stato aggiornato in modo tale da utilizzare sempre la migliore architettura per un sistema (ad esempio, la versione a 64 bit è installata quando il sistema lo supporta).
- Add-ons:
- Aggiornamento:
- 7zip 16.02
- uccello 1.6.3
- cyrus-imapd 2.5.11
- iperf 2.0.9
- directfb 1.7.7
- freeradius 3.0.14
- monit 5.23.0
- miniupnpd ora sta ascoltando VERDE di default
- tmux 2.5
- tor 3.0.8
- Dropped:
- imspector e tcpick non vengono più mantenuti a monte
Novità nella versione 2.19 Core 111 / 3.0 Alpha 1:
- Autenticazione WPA Enterprise in modalità client:
- Il firewall ora può autenticarsi con una rete wireless che utilizza l'EAP (Extensible Authentication Protocol). Questi sono comunemente usati nelle aziende e richiedono un nome utente e una password per connettersi alla rete.
- IPFire supporta PEAP e TTLS, che sono i due più comuni. Possono essere trovati nella pagina "WiFi Client" configurata che appare solo quando l'interfaccia RED è un dispositivo wireless. Questa pagina mostra anche lo stato e i protocolli utilizzati per stabilire la connessione.
- La pagina indice mostra anche varie informazioni sullo stato, la larghezza di banda e la qualità della connessione a una rete wireless. Questo funziona anche per reti wireless che utilizzano WPA / WPA2-PSK o WEP.
- QoS Multi-Accodamento:
- La qualità del servizio utilizza ora tutti i core della CPU per bilanciare il traffico. In precedenza, veniva utilizzato solo un core del processore che causava una connessione più lenta su sistemi con processori più deboli come la serie Intel Atom, ecc. Ma adattatori Ethernet veloci. Ora questo è stato modificato in modo che un processore non sia più un collo di bottiglia.
- Nuovi valori di crittografia predefiniti:
- In molte parti degli algoritmi di crittografia IPFire svolge un ruolo enorme. Tuttavia, invecchiano. Quindi abbiamo modificato i valori predefiniti sui nuovi sistemi e le nuove connessioni VPN con qualcosa di più recente e considerato più robusto.
- IPsec:
- L'ultima versione di strongSwan supporta Curve 25519 per le proposte IKE ed ESP, disponibile anche in IPFire ora e abilitato per impostazione predefinita.
- La proposta predefinita per le nuove connessioni ora consente solo gli algoritmi esplicitamente selezionati che massimizzano la sicurezza ma potrebbero avere un impatto sulla compatibilità sui peer più vecchi: SHA1 viene eliminato, deve essere utilizzato SHA2 256 o superiore; il tipo di gruppo deve utilizzare una chiave con lunghezza di 2048 bit o superiore
- Poiché alcune persone usano IPFire in associazione con apparecchiature antiche, ora è consentito selezionare MODP-768 nelle proposte IKE ed ESP. Questo è considerato rotto e contrassegnato così.
- OpenVPN:
- OpenVPN ha utilizzato SHA1 per l'integrità per impostazione predefinita, che ora è stata modificata in SHA512 per le nuove installazioni. Purtroppo OpenVPN non può negoziare questo tramite la connessione. Pertanto, se si desidera utilizzare SHA512 su un sistema esistente, sarà necessario eseguire nuovamente il download di tutte le connessioni client.
- Sono stati aggiunti vari indicatori per evidenziare che determinati algoritmi (ad esempio MD5 e SHA1) sono considerati danneggiati o crittograficamente deboli.
- Varie:.
- Le VPN IPsec verranno visualizzate come "Connessione" quando non sono state stabilite, ma il sistema sta tentando di
- È stato corretto un bug di spegnimento che ritardava il blocco del sistema quando l'interfaccia ROSSA era configurata come statica
- Lo stato DNSSEC ora viene mostrato correttamente su tutti i sistemi
- I seguenti pacchetti sono stati aggiornati: acpid 2.0.28, bind 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, file 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logrotate 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.2l (solo correzioni di bug), openvpn 2.3.16 che corregge CVE-2017-7479 e CVE-2017-7478, pcre 8.40 , pkg-config 0.29.1, rrdtool 1.6.0, strongswan 5.5.2, non associato 1.6.2, decomprimere 60, vnstat 1.17
- Matthias Fischer ha apportato alcune modifiche estetiche per la sezione del registro del firewall
- Gabriel Rolland ha migliorato la traduzione italiana
- Varie parti del sistema di compilazione sono state ripulite
- Add-ons:
- Nuovi componenti aggiuntivi:
- ltrace: uno strumento per tracciare le chiamate di libreria di un file binario
- Componenti aggiuntivi aggiornati:
- L'addon di samba è stato corretto per una vulnerabilità di sicurezza (CVE-2017-7494) che consentiva l'esecuzione di codice remoto su condivisioni scrivibili.
- ipset 6,32
- libvirt 3.1.0 + python3-libvirt 3.6.1
- git 2.12.1
- nano 2.8.1
- netsnmpd che ora supporta la lettura dei sensori di temperatura con l'aiuto di lm_sensors
- nmap 7.40
- tor 0.3.0.7
Cosa c'è di nuovo nella versione 2.19 Core 109 / 3.0 Alpha 1:
- Correzioni DNS:
- Il proxy DNS che sta funzionando all'interno di IPFire è stato aggiornato alla versione 1.6.0 non vincolata che porta varie correzioni di bug. Pertanto, la minimizzazione e l'indurimento di QNAME sotto i domini NX sono stati riattivati.
- All'inizio, IPFire ora verifica anche se un router di fronte a IPFire abbandona le risposte DNS che sono più lunghe di una certa soglia (alcuni dispositivi Cisco lo fanno per "indurire" il DNS). Se viene rilevato, la dimensione del buffer EDNS in caso di riduzione, che fa ricadere il collegamento non vincolato su TCP per le risposte più ampie. Questo potrebbe rallentare leggermente il DNS, ma continua a funzionare dopo tutto in quegli ambienti mal configurati.
- Varie:
- openssl è stato aggiornato alla versione 1.0.2k che corregge un numero di vulnerabilità di sicurezza con gravità "moderata"
- Il kernel ora supporta alcuni nuovi moduli eMMC
- Lo script di backup ora funziona in modo più affidabile su tutte le architetture
- Gli script di rete che hanno creato bridge MACVTAP per la virtualizzazione, tra l'altro ora supportano anche i bridge 802.3 standard
- La GUI del firewall ha negato la creazione di sottoreti che erano una sottorete di una delle reti standard che è stata riparata li>
- Matthias Fischer ha presentato gli aggiornamenti del pacchetto per: bind 9.11.0-P2 con alcune correzioni di sicurezza, libpcap 1.8.1, logrotate 3.9.1, modulo perl-GeoIP 1.25, snort 2.9.9.0, calam 3.5.24 che corregge vari bug, sysklogd 1.5.1, zlib 1.2.11
- Inoltre, libpng è stato aggiornato alla versione 1.2.57 che corregge alcune vulnerabilità di sicurezza
- Add-ons:
- Jonatan Schlag ha impacchettato Python 3 per IPFire
- Ha anche aggiornato libvirt alla versione 2.5 e qemu alla versione 2.8
- Matthias Fischer ha presentato una serie di aggiornamenti per i seguenti pacchetti: nano 2.7.2, tcpdump 4.8.1, tmux 2.3
- tor è stato aggiornato a 0.2.9.9 che corregge una serie di vulnerabilità denial-of-service
- sarg è stato aggiornato alla 2.3.10
Novità nella versione 2.19 Core 108 / 3.0 Alpha 1:
- Registrazione asincrona:
- La registrazione asincrona ora è abilitata per impostazione predefinita e non più configurabile. Ciò ha reso alcuni programmi che hanno scritto una grande quantità di messaggi di registro che rallentano e che non rispondono alla rete e che causano vari problemi. Questo è stato visto su sistemi con media flash molto lenti e ambienti virtuali.
- Varie:
- Il controllo che verifica i server DNS per eventuali errori di configurazione presuppone che alcuni server dei nomi siano in fase di validazione, sebbene non lo fossero e molto probabilmente non funzionassero affatto. Questo problema è stato risolto e i sistemi che utilizzano questi server dei nomi danneggiati dovrebbero tornare alla modalità di ricorsività.
- È stato risolto un problema nella GUI del firewall che vietava l'aggiunta di una connessione VPN IPsec e la connessione OpenVPN con lo stesso nome a un gruppo firewall.
- Pacchetti core aggiornati:
- strongswan è stato aggiornato alla versione 5.5.1 che corregge vari bug
- ntp è stato aggiornato alla versione 4.2.8p9 che corregge vari problemi di sicurezza
- ddns è stato aggiornato alla versione 008
- Componenti aggiuntivi aggiornati:
- nano, l'editor di testo, è stato aggiornato alla versione 2.7.1
- tor, la rete anonima, è stata aggiornata alla versione 0.2.8.10
Novità nella versione 2.19 Core 107 / 3.0 Alpha 1:
- Questo aggiornamento patch il kernel IPFire Linux contro una vulnerabilità divulgata di recente chiamata Dirty COW. Questo è un bug di escalation di privilegi locali che potrebbe essere utilizzato da un utente malintenzionato locale per ottenere i privilegi di root.
- Un'ulteriore patch corregge i processori Intel con AES-NI, l'hardware supporta la crittografia con una chiave di 256 e 192 bit, ma non è stato implementato correttamente nel kernel Linux
- Una correzione per mostrare il nuovo proxy DNS non associato nella sezione di registro dell'interfaccia utente web
- hdparm 9.5.0 e libjpeg 1.5.1 sono stati aggiornati
Novità nella versione 2.19 Core 105 / 3.0 Alpha 1:
- IPFire 2.19 Aggiornamento Core 105 risolve una serie di problemi di sicurezza in due librerie crittografiche: openssl e libgcrypt. Ti consigliamo di installare questo aggiornamento il più presto possibile e di riavviare il sistema IPFire per completare l'aggiornamento.
Novità nella versione 2.19 Core 103 / 3.0 Alpha 1:
- Miglioramenti al proxy Web:
- Il web proxy calam è stato aggiornato alla serie 3.5 e sono stati apportati vari miglioramenti per stabilità e prestazioni.
- Sulle macchine con dischi rigidi lenti o su installazioni con cache molto grandi è probabile che l'indice della cache sia corrotto quando il proxy è stato spento. Ciò ha provocato un proxy Web instabile dopo il prossimo avvio.
- La routine di spegnimento è stata migliorata in modo che un danneggiamento dell'indice di cache sia ora molto improbabile. Inoltre abbiamo mezzi installati che ci permettono di rilevare se l'indice della cache è corrotto e in tal caso farlo ricostruire automaticamente al prossimo avvio. Questo aggiornamento eliminerà l'indice presumibilmente corrotto su tutte le installazioni e avvierà una ricostruzione dell'indice, che potrebbe causare un rallentamento del funzionamento del proxy per un breve periodo dopo l'installazione dell'aggiornamento.
- Varie:
- Correggi il comando di installazione per mostrare correttamente più di 6 controller di rete
- Il database del fuso orario è stato aggiornato
- Consenti generalmente caratteri di sottolineatura nei nomi di dominio
- Pacchetti aggiornati: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, meno 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
- Componenti aggiuntivi aggiornati:
- 7zip 15.14.1
- clamav 0.99.2
- hostapd 2.5
- Midnight Commander 4.8.17
- nfs (sostituirà portmap con rpcbind)
- tor 0.2.7.6
Novità nella versione 2.19 Core 102 / 3.0 Alpha 1:
Novità di IPFire 2.19 Core 101 (3 maggio 2016)
Novità nella versione 2.19 Core 100 / 3.0 Alpha 1:
- Questo aggiornamento ti fornirà IPFire 2.19 che rilasciamo per 64 bit su Intel (x86_64) per la prima volta. Questa versione è stata ritardata dalle varie vulnerabilità di sicurezza in openssl e glibc, ma è ricca di numerosi miglioramenti e numerose correzioni di bug.
- 64 bit:
- Non ci sarà alcun percorso di aggiornamento automatico da un'installazione a 32 bit a un'installazione a 64 bit. È necessario reinstallare manualmente il sistema per coloro che vogliono cambiare, ma un backup generato in precedenza può essere ripristinato in modo che l'intera procedura richieda di solito meno di mezz'ora.
- Non ci sono troppi vantaggi su una versione a 64 bit, tranne alcuni minori incrementi di prestazioni per alcuni casi d'uso e, naturalmente, la possibilità di indirizzare più memoria. IPFire è in grado di indirizzare fino a 64 GB di RAM su 32 bit, quindi non c'è bisogno di migrare. Raccomandiamo di utilizzare immagini a 64 bit per le nuove installazioni e mantenere le installazioni esistenti così come sono.
- Aggiornamento del kernel:
- Come per tutte le versioni principali, questo viene fornito con un kernel Linux aggiornato per correggere i bug e migliorare la compatibilità hardware. Linux 3.14.65 con molti driver backported di Linux 4.2 è anche più resistente contro attacchi comuni come lo stack buffer overflow.
- Molti blob del firmware per schede wireless e altri componenti sono stati aggiornati proprio come il database dell'hardware.
- Problemi di prestazioni di Hyper-V:
- Un backport di una versione recente del modulo del driver di rete Microsoft Hyper-V consentirà di trasferire nuovamente i dati a velocità più elevate. Le versioni precedenti avevano un throughput molto scarso su alcune versioni di Hyper-V.
- Aggiornamenti del firewall:
- Ora è possibile abilitare o disabilitare determinati moduli di tracciamento della connessione. Questi moduli Application Layer Gateway (ALG) aiutano determinati protocolli come SIP o FTP a funzionare con NAT. Alcuni telefoni VoIP o PBX hanno problemi con quelli in modo che ora possano essere disabilitati. Alcuni ne hanno bisogno.
- Anche il firewall è stato ottimizzato per consentire un maggiore throughput con l'utilizzo di risorse di sistema leggermente inferiori.
- Varie:
- Molti programmi e strumenti della toolchain utilizzata sono stati aggiornati. Una nuova versione delle raccolte del compilatore GNU offre codice più efficiente, maggiore protezione e compatibilità per C ++ 11
- GCC 4.9.3, binutils 2.24, bison 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
- dnsmasq, il proxy DNS interno IPFire è stato aggiornato e sono stati risolti molti problemi di instabilità
- openvpn è stato aggiornato alla versione 2.3.7 ei file di configurazione generati sono stati aggiornati per essere compatibili con le prossime versioni di OpenVPN
- IPFire attenderà ora con l'avvio quando il tempo deve essere sincronizzato e DHCP viene utilizzato fino a quando non viene stabilita la connessione e quindi continua l'avvio
- bind è stato aggiornato alla versione 9.10.3-P2
- ntp è stato aggiornato alla versione 4.2.8p5
- tzdata, il database per le definizioni del fuso orario, è stato aggiornato alla versione 2016b
- Sono state apportate varie correzioni estetiche all'interfaccia utente Web
- Un bug che causa la mancata creazione di dispositivi VLAN quando viene visualizzata la NIC padre è stato corretto
- Client DHCP: la reimpostazione del MTU su NIC danneggiati che perdono il collegamento è stata corretta li>
- Un ramdisk per archiviare i database dei grafici visualizzati nell'interfaccia utente Web viene ora utilizzato di default di nuovo su installazioni che utilizzano l'immagine flash quando sono disponibili più di 400 MB di memoria
- È stato corretto un errore che la qualità del servizio non poteva essere arrestata li>
- Alcuni vecchi codici sono stati rinnovati e alcuni codici non utilizzati sono stati eliminati in alcuni componenti interni di IPFire
- Add-ons:
- owncloud è stato aggiornato alla versione 7.0.11
- nano è stato aggiornato alla versione 2.5.1
- rsync è stato aggiornato alla versione 3.1.2
Cosa c'è di nuovo nella versione 2.17 Core 98 / 3.0 Alpha 1:
- A causa di una vulnerabilità di sicurezza recentemente scoperta in glibc, stiamo rilasciando questo aggiornamento principale che contiene una correzione per CVE-2015-7547.
- L'interfaccia getaddrinfo () è glibc, la libreria C principale del sistema, usata per risolvere i nomi in indirizzi IP usando DNS. Un utente malintenzionato può sfruttare il processo nel sistema che esegue questa richiesta inviando una risposta falsificata che è troppo lunga causando un overflow del buffer dello stack. Il codice può potenzialmente essere iniettato ed eseguito.
- IPFire tuttavia non è direttamente sfruttabile da questa vulnerabilità poiché utilizza un proxy DNS, che rifiuta le risposte DNS troppo lunghe. Quindi IPFire stesso e tutti i sistemi sulla rete che utilizzano IPFire come proxy DNS sono protetti dal proxy DNS. Tuttavia, abbiamo deciso di distribuire una patch per questa vulnerabilità il più rapidamente possibile.
Novità nella versione 2.17 Core 94 / 3.0 Alpha 1:
- OpenSSH:
- OpenSSH è stato aggiornato alla versione 7.1p1. Con ciò abbiamo aggiunto il supporto per le curve ellittiche (ECDSA e ED25519) e rimosso il supporto per DSA che è considerato non funzionante. Anche le chiavi RSA troppo piccole vengono rimosse e rigenerate. Queste modifiche potrebbero richiedere di importare nuovamente le chiavi del sistema IPFire sul tuo computer di amministrazione.
- Agente di posta interno
- È stato aggiunto un agente di posta interno che viene utilizzato dai servizi interni per inviare report o avvisi. Finora solo pochi servizi lo usano (come il componente aggiuntivo di squid accounting), ma prevediamo di aggiungere altre cose in futuro.
- Questo è un agente di posta molto semplice e leggero che può essere configurato sull'interfaccia utente web e di solito richiede un server di posta upstream.
- IPSec MOBIKE:
- È stata aggiunta una nuova casella di controllo nella pagina delle impostazioni avanzate di una connessione IPsec. Permette di forzare l'utilizzo di MOBIKE, una tecnologia per IPsec per attraversare meglio la NAT. A volte, quando dietro router difettosi, è possibile stabilire connessioni IPsec, ma non è possibile trasferire dati e la connessione si interrompe molto rapidamente (alcuni router hanno difficoltà con l'inoltro dei pacchetti DPD). MOBIKE circonda quello usando la porta UDP 4500 per i messaggi IKE.
- Varie:
- I campi obbligatori sono ora contrassegnati con una stella. In precedenza, questo era il contrario, in modo che i campi facoltativi contrassegnati da una stella non si trovassero più sul web.
- Un aggiornamento mensile forzato di ddns è stato rimosso poiché ddns si sta occupando di mantenere aggiornati tutti i record e di aggiornarli dopo 30 giorni, se necessario.
- fireinfo: alcuni crash sono stati corretti con ID che contengono solo 0xff
- Pacchetti aggiornati:
- bind 9.10.2-P4, coreutils 8.24, dnsmasq ha le ultime modifiche importate, file 5.24, glibc (correzioni di sicurezza), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-error 1.20, pcre (correzioni per maggiori buffer overflow), rrdtool 1.5.4, calamaro 3.4.14
Novità nella versione 2.17 Core 93 / 3.0 Alpha 1:
- Aggiornamento del client DDNS:
- ddns, il nostro client di aggiornamento DNS dinamico, è stato aggiornato alla versione 008. Questa versione è più robusta contro gli errori di rete sul percorso e gli errori del server presso il provider. Gli aggiornamenti verranno quindi riprovati di frequente.
- I provider joker.com e DNSmadeEasy ora sono supportati
- Un arresto anomalo durante l'aggiornamento dei record namecheap è stato risolto
- Varie:
- Pakfire è stato corretto e ora estrae correttamente le dipendenze aggiuntive dei pacchetti aggiuntivi durante l'aggiornamento da una versione precedente.
- TRIM è disabilitato su alcuni SSD con noti errori del firmware che causano la perdita di dati.
- Squid-accounting: correggi vari refusi nelle traduzioni
- /etc/ipsec.user-post.conf viene aggiunto al backup se esiste
- Pacchetti aggiornati:
- bind 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-stabile (spostato nel sistema principale dal componente aggiuntivo), libpcap 1.7.4, nettle 3.1.1, pcre (corregge CVE -2015-5073), calamaro 3.4.14
- Add-ons:
- cups 2.0.4, make 4.1, nano 2.4.2
I commenti non trovato