IPFire ist ein Open-Source-Betriebssystem, das von Grund auf als dediziertes, sicheres und flexibles Firewall-System entwickelt wurde, das auf einigen der besten Linux-Technologien wie iptables, OpenSSL basiert und OpenSSH.
Als 32-Bit-ISO-Image verteilt
Dieses winzige Betriebssystem kann über Softoware oder von seiner offiziellen Website (siehe Link oben) als einzelnes, nur installierbares CD-ISO-Image mit einer Größe von ca. 150 MB heruntergeladen werden, das nur für die 32-Bit-Architektur (i586) gekennzeichnet ist. Während die Distro auf 64-Bit-Hardwareplattformen bootet und installiert wird, akzeptiert sie nur 32-Bit-Anwendungen.
Boot Optionen
Das schön gestaltete und gut organisierte Boot-Menü ermöglicht es Ihnen, die Distribution direkt und dauerhaft auf einem lokalen Laufwerk zu installieren. Darüber hinaus können Sie das Betriebssystem im Textmodus installieren, eine unbeaufsichtigte Installation durchführen, einen Speicherdiagnosetest mit dem Dienstprogramm Memtest86 + ausführen sowie detaillierte Hardwareinformationen mit dem Hardware Detection Tool (HDT) anzeigen. p>
Sehr einfach zu bedienendes Installationsprogramm im Textmodus
Der gesamte Installationsprozess ist textbasiert und erfordert, dass der Benutzer nur eine Sprache auswählt (die unterstützten Sprachen sind Englisch, Türkisch, Polnisch, Russisch, Niederländisch, Spanisch, Französisch und Deutsch), die Lizenz akzeptieren und die Festplatte partitionieren (unterstützte Dateisysteme sind EXT2, EXT3, EXT4 und ReiserFS).
Nach der Installation müssen Sie ein Tastaturlayout und eine Zeitzone auswählen, den Hostnamen und den Domainnamen des Rechners eingeben, ein Passwort für die Benutzer root (Systemadministrator) und admin eingeben sowie das Netzwerk konfigurieren ( enthält DNS, Gateway, IP-Adresse, Treiber und Netzwerkkarte Einstellungen).
Endeffekt
Zusammenfassend ist IPFire eine der weltweit besten Open-Source-Firewall-Distributionen von Linux, die entwickelt wurde, um modernste Firewall-, VPN-Gateway- und Proxy-Server-Komponenten zu liefern. Sein Design ist modular und flexibel, was bedeutet, dass seine Funktionalität durch Plugins erweitert werden kann.
Was ist neu in dieser Version:
- Nur-RAM-Proxy:
- In einigen Installationen könnte es wünschenswert sein, den Proxy nur Objekte im Speicher und nicht auf der Festplatte zwischenzuspeichern. Besonders wenn die Internetkonnektivität schnell ist und der Speicher langsam ist, ist dies am nützlichsten.
- Die Web-Benutzeroberfläche ermöglicht nun, die Größe des Festplatten-Caches auf Null zu setzen, wodurch der Festplatten-Cache vollständig deaktiviert wird. Danke an Daniel für die Arbeit.
- OpenVPN 2.4:
- IPFire ist nach OpenVPN 2.4 migriert, was neue Algorithmen der AES-GCM-Klasse einführt, die den Durchsatz auf Systemen mit Hardwarebeschleunigung erhöhen. Das Update bringt auch verschiedene andere kleinere Verbesserungen.
- Erik hat an der Integration gearbeitet, was einige Arbeit unter der Haube erfordert hat, aber mit allen vorherigen Konfigurationen für Roadwarrior-Verbindungen und Net-to-Net-Verbindungen kompatibel ist.
- Verbesserte Kryptographie:
- Kryptographie ist eine der Grundlagen für ein sicheres System. Wir haben die Distribution aktualisiert, um die neueste Version der OpenSSL-Kryptographiebibliothek (Version 1.1.0) zu verwenden. Dies kommt mit einer Reihe von neuen Verschlüsselungscodes, und die Code-Basis wurde grundlegend überarbeitet.
- Mit dieser Änderung haben wir uns dazu entschlossen, SSLv3 komplett abzulehnen, und die Web-Benutzeroberfläche erfordert TLSv1.2, was auch für viele andere Dienste der Standard ist. Wir haben eine gehärtete Liste von Chiffren konfiguriert, die nur aktuelle Algorithmen verwendet und vollständig gebrochene oder schwache Algorithmen wie RC4, MD5 und so weiter entfernt.
- Bitte überprüfen Sie vor diesem Update, ob Sie sich auf eine dieser Komponenten verlassen, und aktualisieren Sie Ihre abhängigen Systeme.
- Verschiedene Pakete in IPFire mussten gepatcht werden, um die neue Bibliothek verwenden zu können. Diese wichtige Arbeit war notwendig, um IPFire mit der neuesten Kryptographie auszustatten, von veralteten Algorithmen abzuwandern und neue Technologien zu nutzen. Zum Beispiel ist die ChaCha20-Poly1305-Verschlüsselungssuite verfügbar, die auf mobilen Geräten schneller funktioniert.
- Die alte Version der OpenSSL-Bibliothek (1.0.2) ist aus Kompatibilitätsgründen noch im System vorhanden und wird von uns noch für kurze Zeit gewartet. Eventuell wird dies vollständig entfernt, also migrieren Sie alle benutzerdefinierten Add-ons von der Verwendung von OpenSSL 1.0.2.
- Verschiedenes:
- Pakfire hat nun erfahren, welche Spiegelserver HTTPS unterstützen und kontaktiert sie automatisch über HTTPS. Dies verbessert die Privatsphäre.
- Wir haben auch die erste Phase unseres geplanten Pakfire Key Rollover begonnen.
- Path MTU Discovery wurde im System deaktiviert. Dies hat kontinuierlich Probleme mit der Stabilität von IPsec-Tunneln verursacht, die Pfade über falsch konfigurierte Netzwerke ausgewählt haben.
- Die QoS-Vorlage könnte die jetzt fixierte Bandbreite falsch berechnen, so dass die Summe der garantierten Bandbreite über alle Klassen nicht 100% überschreitet
- Aktualisierte Pakete:
- binde 9.11.3, locken 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotate 3.14.0, Net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, ungebunden 1.7.0, vnstat 1.18
- Erweiterungen:
- Diese Add-ons wurden aktualisiert: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2
Was ist neu in der Version:
- OpenSSL 1.0.2n:
- In OpenSSL 1.0.2n wurde eine moderate und eine niedrige Sicherheitslücke gepatcht. Die offizielle Sicherheitsempfehlung finden Sie hier.
- IPsec:
- Es ist jetzt möglich, die Inaktivitäts-Timeout-Zeit zu definieren, wenn ein leerer IPsec-VPN-Tunnel geschlossen wird
- Unterstützung für MODP-Gruppen mit Untergruppen wurde gelöscht
- Die Komprimierung ist jetzt standardmäßig deaktiviert, weil sie überhaupt nicht effektiv ist
- strongswan wurde auf 5.6.1 aktualisiert
- OpenVPN:
- Es ist jetzt einfacher, OpenVPN Roadwarrior-Clients an IPsec-VPN-Netzwerke zu routen, indem Routen in jeder Clientkonfiguration ausgewählt werden. Dies vereinfacht die Konfiguration von Hub-and-Spoke-Designs.
- Toolchain erstellen:
- Einige Build-Skripte wurden überarbeitet, um den Build-Prozess zu bereinigen und die Toolchain wurde von / tools nach / tools_ & lt; arch & gt;.
- nasm, der Net Assembler, wurde auf 2.13.2 aktualisiert
- Verschiedenes:
- SSL-Komprimierung und SSL-Sitzungstickets wurden in Apache deaktiviert. Dies verbessert die Sicherheit der Webbenutzeroberfläche.
- An verschiedenen Orten sind GeoIP-Informationen verfügbar, wo IP-Adressen angezeigt werden und Informationen nützlich sind, um zu kennen
- Das Hinzufügen statischer Routen über die Web-Benutzeroberfläche wurde korrigiert
- Einige ästhetische Probleme auf den Konfigurationsseiten des Captive-Portals wurden behoben, und das Captive-Portal arbeitet nun im Transparent-Modus mit dem Proxy zusammen
- Syslogging auf einem Remove-Server kann jetzt so konfiguriert werden, dass entweder TCP oder UDP verwendet wird
- Erweiterungen:
- Samba wurde aktualisiert, um einige Sicherheitsprobleme zu beheben
- mc wurde auf 4.8.20 aktualisiert
- nano wurde auf 2.9.1 aktualisiert
- sslscan, vsftpd und Pound wurden gelöscht, weil sie nicht mehr upstream-verwaltet werden und mit OpenSSL 1.1.0 inkompatibel sind
Was ist neu in Version 2.19 Core 116 / 3.0 Alpha 1:
- openssl 1.0.2m:
- Das OpenSSL-Projekt hat Version 1.0.2m veröffentlicht und in der letzten Woche zwei Sicherheitsmitteilungen herausgegeben. Die beiden Schwachstellen, die entdeckt wurden, waren von moderater und niedriger Sicherheit, aber wir haben uns entschieden, Ihnen dieses Update so schnell wie möglich zukommen zu lassen. Daher ist es empfehlenswert, so bald wie möglich zu aktualisieren.
- Die schwerwiegendere Schwachstelle, auf die mit CVE-2017-3736 verwiesen wird, behebt ein Problem mit modernen Intel Broadwell- und AMD Ryzen-Prozessoren, bei denen OpenSSL einige moderne DMI1-, DMI2- und ADX-Erweiterungen verwendet und die Quadratwurzel falsch berechnet. Dies könnte von einem Angreifer ausgenutzt werden, der in der Lage ist, erhebliche Ressourcen in die Wiederherstellung eines privaten Schlüssels zu investieren, da dieser Angriff vom OpenSSL-Sicherheitsteam noch als praktisch undurchführbar angesehen wird.
- Die weniger schwerwiegende Sicherheitsanfälligkeit wurde durch Überlesen von Zertifikatsdaten verursacht, wenn ein Zertifikat eine fehlerhafte IPAddressFamily-Erweiterung aufweist. Dies könnte zu einer fehlerhaften Anzeige des Zertifikats im Textformat führen. Diese Sicherheitsanfälligkeit wird unter CVE-2017-3735 nachverfolgt.
- Verschiedenes:
- wget litt außerdem unter zwei Sicherheitslücken, durch die ein Angreifer beliebigen Code ausführen konnte. Sie sind unter CVE-2017-13089 und CVE-2017-13090 referenziert.
- Apache wurde auf Version 2.4.29 aktualisiert, die eine Reihe von Fehlern behebt.
- snort wurde auf Version 2.9.11 aktualisiert.
- xz wurde auch auf Version 5.2.3 aktualisiert, die verschiedene Verbesserungen bringt.
Was ist neu in Version 2.19 Core 113 / 3.0 Alpha 1:
- Wer ist online?:
- Wer ist online? (oder kurz WIO) ist endlich bei IPFire angekommen. Es wurde vom ursprünglichen Autor Stephan Feddersen und Alex Marx portiert und ist als gewöhnliches Add-on-Paket mit dem Namen wio erhältlich.
- Es ist ein integrierter Überwachungsdienst für das lokale Netzwerk, der anzeigt, welche Geräte verbunden sind, welche online sind und auch Alarme bei verschiedenen Ereignissen senden können. Probieren Sie es aus!
- Verschiedenes:
- Die DNS-Stammschlüssel wurden aktualisiert, damit DNS nach dem Ausführen des DNSSEC-Schlüssel-Rollover über Oktober 2017 hinaus funktioniert
- Serielle Konsolen erkennen nun automatisch die Baudrate nach dem Booten des Kernels
- Paket-Updates von Matthias Fischer: bind 9.11.2, gnutls 3.5.14, libgcrypt 1.8.0, logrotate 3.12.3, nano 2.8.6, pcre 8.41, squid 3.5.26, ungebunden 1.6.4
- Add-Ons:
- iftop wurde von Erik Kapfer auf 1.0pre4 aktualisiert
- Matthias Fischer aktualisiert: hostapd 2.6, tor 0.3.0.10
Was ist neu in Version 2.19 Core 112 / 3.0 Alpha 1:
- Dieses Core Update enthält hauptsächlich Updates unter der Haube. Die Core-Systembibliotheken wurden auf neue Hauptversionen aktualisiert und die Build-Toolchain erhielt wichtige Updates.
- Diese sind:
- glibc 2.25
- GNU Compiler-Sammlung 6.3.0
- binutils 2.29
- Python 2.7.13
- Verschiedenes:
- openvpn (2.3.17) hat einige Sicherheitsupdates erhalten, die kürzlich entdeckt wurden.
- Eine Sicherheitslücke bei der Ausführung von Remote-Befehlen, in der ids.cgi geschlossen wurde, könnte von authentifizierten Benutzern verwendet werden, um Shell-Befehle mit Nicht-Superuser-Rechten auszuführen.
- Es ist jetzt möglich, Netzwerke in der Firewall zu erstellen, die ein Teilnetz einer der internen Zonen sind.
- Die Toolchain- und Build-Skripte wurden ebenfalls bereinigt und verbessert.
- Der IPFire-Netboot wurde aktualisiert, so dass immer die beste Architektur für ein System verwendet wird (d. h. die 64-Bit-Version wird installiert, wenn das System dies unterstützt).
- Erweiterungen:
- Aktualisiert:
- 7zip 16.02
- Vogel 1.6.3
- cyrus-imapd 2.5.11
- iperf 2.0.9
- directfb 1.7.7
- freeradius 3.0.14
- monit 5.23.0
- miniupnpd hört jetzt standardmäßig auf GRÜN zu
- tmux 2.5
- tor 3.0.8
- Gedroppt:
- imspector und tcpick werden nicht mehr im Upstream gepflegt
cache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, fuse 2.9.7, boost 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, libarchive 3.3.1 , libgcrypt 1.7.7, libgpg-Fehler 1.27, libxml2 2.9.4, mdadm 4.0, openssl 1.0.2l, pkg-Konfig 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, Tintenfisch 3.5.26, strongswan 5.5.3 , ungebunden 1.6.3, util-linux 2.28.2
Was ist neu in Version 2.19 Core 111 / 3.0 Alpha 1:
- WPA Enterprise-Authentifizierung im Client-Modus:
- Die Firewall kann sich jetzt bei einem drahtlosen Netzwerk authentifizieren, das Extensible Authentication Protocol (EAP) verwendet. Diese werden häufig in Unternehmen verwendet und erfordern einen Benutzernamen und ein Passwort, um sich mit dem Netzwerk zu verbinden.
- IPFire unterstützt PEAP und TTLS, die beiden am häufigsten verwendeten. Sie finden sie auf der Seite "WiFi Client", die nur angezeigt wird, wenn die RED-Schnittstelle ein drahtloses Gerät ist. Diese Seite zeigt auch den Status und die Protokolle, die zum Herstellen der Verbindung verwendet werden.
- Die Indexseite zeigt auch verschiedene Informationen über den Status, die Bandbreite und die Qualität der Verbindung zu einem drahtlosen Netzwerk. Das funktioniert auch für drahtlose Netzwerke, die WPA / WPA2-PSK oder WEP verwenden.
- QoS Multi-Queuing:
- Die Quality of Service verwendet jetzt alle CPU-Kerne, um den Datenverkehr auszugleichen. Zuvor wurde nur ein Prozessorkern verwendet, der auf Systemen mit schwächeren Prozessoren wie der Intel Atom-Serie usw. aber langsameren Ethernet-Adaptern eine langsamere Verbindung verursachte. Dies wurde nun geändert, so dass ein Prozessor kein Flaschenhals mehr ist.
- Neue Verschlüsselungsstandards:
- In vielen Bereichen von IPFire spielen kryptografische Algorithmen eine große Rolle. Sie altern jedoch. Daher haben wir die Standardeinstellungen für neue Systeme und für neue VPN-Verbindungen auf etwas Neues geändert, das als robuster gilt.
- IPsec:
- Die neueste Version von strongSwan unterstützt Curve 25519 für die IKE- und ESP-Vorschläge, die jetzt auch in IPFire verfügbar und standardmäßig aktiviert sind.
- Der Standardvorschlag für neue Verbindungen erlaubt jetzt nur die explizit ausgewählten Algorithmen, die die Sicherheit maximieren, aber möglicherweise einen Kompatibilitätseinfluss auf ältere Peers haben: SHA1 wird verworfen, SHA2 256 oder höher muss verwendet werden; Der Gruppentyp muss einen Schlüssel mit einer Länge von 2048 Bit oder größer verwenden
- Da einige Leute IPFire in Verbindung mit alten Geräten verwenden, ist es jetzt erlaubt, MODP-768 in den IKE- und ESP-Vorschlägen auszuwählen. Dies gilt als gebrochen und markiert.
- OpenVPN:
- OpenVPN hat standardmäßig SHA1 für die Integrität verwendet, das jetzt für neue Installationen in SHA512 geändert wurde. Leider kann OpenVPN dies nicht über die Verbindung aushandeln. Wenn Sie also SHA512 in einem bestehenden System verwenden möchten, müssen Sie auch alle Clientverbindungen erneut herunterladen.
- Verschiedene Markierungen wurden hinzugefügt, um hervorzuheben, dass bestimmte Algorithmen (z. B. MD5 und SHA1) als gebrochen oder kryptographisch schwach angesehen werden.
- Verschiedenes:
- IPsec-VPNs werden als "Verbinden" angezeigt, wenn sie nicht eingerichtet sind, das System jedoch versucht, zu verwenden
- Es wurde ein Fehler beim Herunterfahren behoben, der das Herunterfahren des Systems verzögerte, als die RED-Schnittstelle als statisch konfiguriert wurde
- Der DNSSEC-Status wird nun auf allen Systemen korrekt angezeigt
- Die folgenden Pakete wurden aktualisiert: acpid 2.0.28, bind 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, Datei 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logrotate 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.2l (nur Fehlerkorrekturen), openvpn 2.3.16, die CVE-2017-7479 und CVE-2017-7478, pcre 8.40 , pkg-config 0.29.1, rrdtool 1.6.0, strongswan 5.5.2, ungebunden 1.6.2, unzip 60, vnstat 1.17
- Matthias Fischer hat einige kosmetische Änderungen für die Firewall-Log-Sektion vorgenommen
- Gabriel Rolland verbesserte die italienische Übersetzung
- Verschiedene Teile des Build-Systems wurden bereinigt
- Erweiterungen:
- Neue Add-Ons:
- ltrace: Ein Werkzeug zum Verfolgen von Bibliotheksaufrufen einer Binärdatei
- Aktualisierte Add-ons:
- Das Samba-Addon wurde wegen einer Sicherheitslücke (CVE-2017-7494) gepatcht, die das Ausführen eines Remote-Codes auf beschreibbaren Freigaben erlaubte.
- ipset 6.32
- libvirt 3.1.0 + python3-libvirt 3.6.1
- git 2.12.1
- nano 2.8.1
- netsnmpd, das jetzt das Lesen von Temperatursensoren mit Hilfe von lm_sensors unterstützt
- nmap 7.40
- tor 0.3.0.7
Was ist neu in Version 2.19 Core 109 / 3.0 Alpha 1:
- DNS-Fixes:
- Der DNS-Proxy, der in IPFire funktioniert, wurde auf Unbound 1.6.0 aktualisiert, was verschiedene Fehlerbehebungen mit sich bringt. Daher wurden QNAME-Minimierung und -Härten unter NX-Domänen erneut aktiviert.
- Beim Start prüft IPFire nun auch, ob ein Router vor IPFire DNS-Antworten löscht, die länger als ein bestimmter Schwellenwert sind (einige Cisco-Geräte tun dies, um DNS zu "härten"). Wenn dies festgestellt wird, wird die Größe des EDNS-Puffers verringert, wodurch ungebundenes TCP für größere Antworten zurückfällt. Dies kann DNS etwas verlangsamen, aber es funktioniert trotzdem in diesen falsch konfigurierten Umgebungen.
- Verschiedenes:
- openssl wurde auf 1.0.2k aktualisiert, was eine Reihe von Sicherheitslücken mit "moderater" Schwere behebt
- Der Kernel unterstützt jetzt einige neuere eMMC-Module
- Das Backup-Skript arbeitet nun zuverlässiger auf allen Architekturen
- Die Netzwerkskripte, die unter anderem MACVTAP-Bridges für die Virtualisierung erstellt haben, unterstützen nun auch Standard-802.3-Bridges
- Die Firewall-GUI hat die Erstellung von Subnetzen verweigert, die ein Subnetz eines der Standardnetzwerke waren, das behoben wurde
- Matthias Fischer hat Paket-Updates für: bind 9.11.0-P2 mit einigen Sicherheitsupdates, libpcap 1.8.1, logrotate 3.9.1, perl-GeoIP Modul 1.25, snort 2.9.9.0, squid 3.5.24 eingereicht behebt diverse Fehler, sysklogd 1.5.1, zlib 1.2.11
- Darüber hinaus wurde libpng auf 1.2.57 aktualisiert, was einige Sicherheitslücken beseitigt
- Erweiterungen:
- Jonatan Schlag packte Python 3 für IPFire
- Außerdem hat er libvirt auf Version 2.5 und qemu auf Version 2.8 aktualisiert
- Matthias Fischer hat eine Reihe von Updates für die folgenden Pakete eingereicht: nano 2.7.2, tcpdump 4.8.1, tmux 2.3
- tor wurde auf Version 0.2.9.9 aktualisiert, die eine Reihe von Denial-of-Service-Schwachstellen behebt
- sarg wurde auf 2.3.10 aktualisiert
Was ist neu in Version 2.19 Core 108 / 3.0 Alpha 1:
- Asynchrones Logging:
- Die asynchrone Protokollierung ist jetzt standardmäßig aktiviert und nicht mehr konfigurierbar. Dies hat dazu geführt, dass einige Programme, die eine große Anzahl von Protokollnachrichten geschrieben haben, langsamer werden und möglicherweise nicht mehr über das Netzwerk reagieren, was verschiedene Probleme verursacht. Dies wurde auf Systemen mit sehr langsamen Flash-Medien und virtuellen Umgebungen beobachtet.
- Verschiedenes:
- Die Überprüfung, die DNS-Server auf Fehlkonfiguration prüft, geht davon aus, dass einige Nameserver überprüft werden, obwohl sie nicht und sehr wahrscheinlich gar nicht funktionieren. Dies wurde jetzt behoben und Systeme, die diese defekten Nameserver verwenden, sollten in den Rekursormodus zurückfallen.
- Ein Problem in der Firewall-GUI wurde behoben, das das Hinzufügen einer IPsec-VPN-Verbindung und einer OpenVPN-Verbindung mit demselben Namen zu einer Firewall-Gruppe untersagte.
- Aktualisierte Kernpakete:
- strongswan wurde auf Version 5.5.1 aktualisiert, die verschiedene Fehler behebt
- ntp wurde auf Version 4.2.8p9 aktualisiert, die verschiedene Sicherheitsprobleme behebt
- ddns wurde auf Version 008 aktualisiert
- Aktualisierte Add-ons:
- nano, der Texteditor, wurde auf Version 2.7.1 aktualisiert
- tor, das Anonymitätsnetzwerk, wurde auf Version 0.2.8.10 aktualisiert
Was ist neu in Version 2.19 Core 107 / 3.0 Alpha 1:
- Mit diesem Update wird der IPFire-Linux-Kernel gegen eine kürzlich bekannt gewordene Schwachstelle namens "Dirty COW" ("Schmutzige COW") gepatcht. Dies ist ein lokaler Eskalationsfehler, der von einem lokalen Angreifer verwendet werden kann, um Root-Rechte zu erlangen.
- Ein weiterer Patch behebt Intel-Prozessoren mit AES-NI, dessen Hardware Verschlüsselung mit 256 und 192 Bit Schlüssellänge unterstützt, aber im Linux-Kernel nicht richtig implementiert wurde
- Ein Fix zum Anzeigen des neuen ungebundenen DNS-Proxys im Protokollabschnitt der Webbenutzerschnittstelle
- hdparm 9.5.0 und libjpeg 1.5.1 wurden aktualisiert
Was ist neu in Version 2.19 Core 105 / 3.0 Alpha 1:
- IPFire 2.19 Core Update 105 korrigiert eine Reihe von Sicherheitsproblemen in zwei kryptografischen Bibliotheken: openssl und libgcrypt. Wir empfehlen, dieses Update so bald wie möglich zu installieren und das IPFire-System neu zu starten, um das Update abzuschließen.
Was ist neu in Version 2.19 Core 103 / 3.0 Alpha 1:
- Web Proxy-Verbesserungen:
- Der Web-Proxy-Tintenfisch wurde auf die 3.5-Serie aktualisiert und verschiedene Verbesserungen für Stabilität und Leistung wurden vorgenommen.
- Auf Rechnern mit langsamen Festplatten oder Installationen mit sehr großen Caches war es möglich, dass der Cache-Index beim Herunterfahren des Proxy-Servers beschädigt wurde. Dies führte nach dem nächsten Start zu einem instabilen Web-Proxy.
- Die Shutdown-Routine wurde verbessert, sodass eine Beschädigung des Cache-Index jetzt sehr unwahrscheinlich ist. Zusätzlich haben wir Mittel installiert, die es uns ermöglichen zu erkennen, ob der Cache-Index beschädigt wurde, und wenn dies der Fall ist, wird er beim nächsten Start automatisch neu aufgebaut. Durch dieses Update wird der vermutlich beschädigte Index für alle Installationen gelöscht und eine Neuerstellung des Indexes gestartet, was nach der Installation des Updates zu einem langsamen Betrieb des Proxys führen kann.
- Verschiedenes:
- Korrigieren Sie den Setup-Befehl, um mehr als 6 Netzwerk-Controller korrekt anzuzeigen
- Die Zeitzonendatenbank wurde aktualisiert
- Im Allgemeinen erlauben Unterstriche in Domain-Namen
- Aktualisierte Pakete: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, weniger 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
- Aktualisierte Add-Ons:
- 7zip 15.14.1
- clamav 0.99.2
- hostapd 2.5
- Midnight Commander 4.8.17
- nfs (ersetzt Portmap durch rpcbind)
- tor 0.2.7.6
Was ist neu in Version 2.19 Core 102 / 3.0 Alpha 1:
Neu in IPFire 2.19 Core 101 (3. Mai 2016)
Was ist neu in Version 2.19 Core 100 / 3.0 Alpha 1:
- Dieses Update wird Ihnen IPFire 2.19 bringen, das wir für 64 Bit auf Intel (x86_64) zum ersten Mal veröffentlichen. Diese Veröffentlichung wurde durch die verschiedenen Sicherheitslücken in openssl und glibc verzögert, ist aber vollgepackt mit vielen Verbesserungen unter der Haube und diversen Fehlerbehebungen.
- 64 Bit:
- Es wird keinen automatischen Update-Pfad von einer 32-Bit-Installation zu einer 64-Bit-Installation geben. Es ist erforderlich, das System für diejenigen, die es ändern möchten, manuell neu zu installieren, aber ein zuvor erstelltes Backup kann wiederhergestellt werden, so dass der gesamte Vorgang normalerweise weniger als eine halbe Stunde dauert.
- Es gibt nicht zu viele Vorteile gegenüber einer 64-Bit-Version, abgesehen von einigen kleineren Leistungssteigerungen für einige Anwendungsfälle und natürlich der Fähigkeit, mehr Speicher zu adressieren. IPFire ist in der Lage, bis zu 64 GB RAM auf 32 Bit zu adressieren, daher ist eine Migration nicht unbedingt erforderlich. Wir empfehlen, 64-Bit-Images für neue Installationen zu verwenden und bestehende Installationen beizubehalten.
- Kernel Update:
- Wie bei allen Major-Releases, enthält dieser einen aktualisierten Linux-Kernel, um Fehler zu beheben und die Hardwarekompatibilität zu verbessern. Linux 3.14.65 mit vielen rückportierten Treibern von Linux 4.2 ist auch stärker gegen häufige Angriffe wie Stack Buffer Overflows gehärtet.
- Viele Firmware-Blobs für Wireless-Karten und andere Komponenten wurden ebenso wie die Hardware-Datenbank aktualisiert.
- Hyper-V-Leistungsprobleme:
- Ein Backport einer aktuellen Version des Microsoft Hyper-V-Netzwerktreibermoduls ermöglicht das erneute Übertragen von Daten mit höheren Geschwindigkeiten. Frühere Versionen hatten bei einigen Versionen von Hyper-V nur einen sehr schlechten Durchsatz.
- Firewall-Updates:
- Es ist jetzt möglich, bestimmte Verbindungs-Tracking-Module zu aktivieren oder zu deaktivieren. Diese Application Layer Gateway (ALG) -Module helfen bestimmten Protokollen wie SIP oder FTP, mit NAT zu arbeiten. Einige VoIP-Telefone oder PBX-Systeme haben Probleme damit, sodass sie jetzt deaktiviert werden können. Manche brauchen sie.
- Die Firewall wurde auch optimiert, um mehr Durchsatz mit etwas weniger Systemressourcen zu ermöglichen.
- Verschiedenes:
- Viele Programme und Werkzeuge der verwendeten Toolchain wurden aktualisiert. Eine neue Version der GNU Compiler Collections bietet effizienteren Code, stärkere Härtung und Kompatibilität für C ++ 11
- GCC 4.9.3, binutils 2.24, bison 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
- dnsmasq, der IPFire-interne DNS-Proxy wurde aktualisiert und viele Instabilitätsprobleme wurden behoben
- openvpn wurde auf Version 2.3.7 aktualisiert und die generierten Konfigurationsdateien wurden aktualisiert, um mit zukünftigen Versionen von OpenVPN kompatibel zu sein
- IPFire wartet jetzt mit dem Hochfahren, wenn die Zeit synchronisiert werden muss und DHCP verwendet wird, bis die Verbindung hergestellt ist und dann das Hochfahren fortgesetzt wird
- bind wurde auf Version 9.10.3-P2 aktualisiert
- ntp wurde auf Version 4.2.8p5 aktualisiert
- tzdata, die Datenbank für Zeitzonendefinitionen, wurde auf Version 2016b aktualisiert
- Auf der Web-Benutzeroberfläche wurden verschiedene kosmetische Korrekturen vorgenommen
- Ein Fehler, der dazu führte, dass VLAN-Geräte nicht erstellt wurden, als die übergeordnete Netzwerkkarte aufkam, wurde behoben
- DHCP-Client: Das Zurücksetzen der MTU auf defekte NICs, die die Verbindung verlieren, wurde behoben
- Eine Ramdisk zum Speichern der Datenbanken der in der Webbenutzeroberfläche angezeigten Diagramme wird jetzt standardmäßig bei Installationen wieder verwendet, die das Flash-Image verwenden, wenn mehr als 400 MB Speicher verfügbar sind
- Ein Fehler, dass die Dienstgüte nicht gestoppt werden konnte, wurde behoben
- Einige alte Codes wurden überarbeitet und einige ungenutzte Codes wurden in einigen internen IPFire-Komponenten gelöscht
- Erweiterungen:
- owncloud wurde auf Version 7.0.11 aktualisiert
- nano wurde auf Version 2.5.1 aktualisiert
- rsync wurde auf Version 3.1.2 aktualisiert
Was ist neu in Version 2.17 Core 98 / 3.0 Alpha 1:
- Aufgrund einer kürzlich entdeckten Sicherheitslücke in glibc veröffentlichen wir dieses Core Update, das einen Fix für CVE-2015-7547 enthält.
- Die Schnittstelle getaddrinfo () ist glibc, die wichtigste C-Bibliothek des Systems, die verwendet wird, um Namen mithilfe von DNS in IP-Adressen aufzulösen. Ein Angreifer kann den Prozess im System, das diese Anforderung ausführt, ausnutzen, indem er eine gefälschte Antwort sendet, die zu lang ist und einen Stapelpufferüberlauf verursacht. Code kann möglicherweise injiziert und ausgeführt werden.
- IPFire kann jedoch nicht direkt von dieser Sicherheitsanfälligkeit ausgenutzt werden, da es einen DNS-Proxy verwendet, der zu lange DNS-Antworten ablehnt. IPFire selbst und alle Systeme im Netzwerk, die IPFire als DNS-Proxy verwenden, sind daher durch den DNS-Proxy geschützt. Wir haben jedoch beschlossen, so schnell wie möglich einen Patch für diese Sicherheitslücke zu veröffentlichen.
Was ist neu in Version 2.17 Core 94 / 3.0 Alpha 1:
- OpenSSH:
- OpenSSH wurde auf Version 7.1p1 aktualisiert. Damit haben wir die Unterstützung für elliptische Kurven (ECDSA und ED25519) hinzugefügt und die Unterstützung für DSA entfernt, die als unterbrochen betrachtet wird. Zu kleine RSA-Schlüssel werden ebenfalls entfernt und regeneriert. Diese Änderungen können erfordern, dass Sie die Schlüssel des IPFire-Systems erneut auf Ihrem Admin-Computer importieren.
- Interner Mail-Agent
- Es wurde ein interner Mail-Agent hinzugefügt, der von internen Services zum Senden von Berichten oder Warnungen verwendet wird. Bisher nutzen nur ein paar Dienste dies (wie das Add-on für die Squid-Buchhaltung), aber wir rechnen damit, dass wir in Zukunft weitere Dinge hinzufügen werden.
- Dies ist ein sehr einfacher und schlanker Mail-Agent, der auf der Web-Benutzeroberfläche konfiguriert werden kann und normalerweise einen vorgeschalteten Mail-Server benötigt.
- IPsec MOBIKE:
- Ein neues Kontrollkästchen auf der Seite für erweiterte Einstellungen von IPsec-Verbindungen wurde hinzugefügt. Es ermöglicht die Verwendung von MOBIKE, einer Technologie für IPsec, um NAT besser zu übertragen. Manchmal können hinter defekten Routern IPsec-Verbindungen hergestellt werden, aber es können keine Daten übertragen werden und die Verbindung bricht sehr schnell (einige Router haben Schwierigkeiten, DPD-Pakete weiterzuleiten). MOBIKE umgeht dies, indem der UDP-Port 4500 für IKE-Nachrichten verwendet wird.
- Verschiedenes:
- Pflichtfelder sind jetzt mit einem Stern gekennzeichnet. Früher war das umgekehrt, so dass optionale Felder mit einem Stern markiert wurden, der nirgendwo im Web mehr zu sehen ist.
- Eine monatliche erzwungene ddns-Aktualisierung wird entfernt, da ddns selbst dafür sorgt, dass alle Einträge auf dem neuesten Stand gehalten und gegebenenfalls nach 30 Tagen aktualisiert werden.
- fireinfo: Einige Abstürze wurden mit IDs behoben, die nur 0xff enthalten
- Aktualisierte Pakete:
- bind 9.10.2-P4, coreutils 8.24, dnsmasq hat die letzten Änderungen importiert, Datei 5.24, glibc (Sicherheitsfixes), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-error 1.20, pcre (behebt für mehr Pufferüberläufe), rrdtool 1.5.4, Tintenfisch 3.4.14
Was ist neu in Version 2.17 Core 93 / 3.0 Alpha 1:
- DDNS-Clientaktualisierung:
- ddns, unser dynamischer DNS-Update-Client, wurde auf Version 008 aktualisiert. Diese Version ist robuster gegen Netzwerkfehler beim Pfad und Serverfehler beim Provider. Updates werden dann häufig wiederholt.
- Die Anbieter joker.com und DNSmadeEasy werden jetzt unterstützt
- Ein Absturz beim Aktualisieren von namecheap-Datensätzen wurde behoben
- Verschiedenes:
- Pakfire wurde repariert und zieht nun beim Aktualisieren von einer älteren Version zusätzliche Abhängigkeiten von Add-on-Paketen.
- TRIM ist auf einigen SSDs mit bekannten Firmware-Fehlern deaktiviert, die zu Datenverlust führen.
- squid-accounting: Repariere verschiedene Tippfehler in Übersetzungen
- /etc/ipsec.user-post.conf wird zur Sicherung hinzugefügt, wenn sie existiert
- Aktualisierte Pakete:
- bind 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-stable (vom Add-On ins Kernsystem verschoben), libpcap 1.7.4, nettle 3.1.1, pcre (korrigiert CVE -2015-5073), Tintenfisch 3.4.14
- Erweiterungen:
- cups 2.0.4, make 4.1, nano 2.4.2
Kommentare nicht gefunden