IPFire är ett operativsystem med öppen källkod som har utformats från grunden för att fungera som ett dedikerat, säkert och flexibelt brandväggssystem baserat på några av de bästa Linux-teknikerna, som iptables, OpenSSL och OpenSSH.
Distribueras som en 32-bitars ISO-bild
Detta lilla OS kan laddas ned via Softoware eller från dess officiella hemsida (se länken ovan) som en enda, installerbar, endast CD ISO-bild på cirka 150 MB, endast taggad för 32-bitars (i586) instruktionsuppsättning. Medan distroen startar och installeras på 64-bitars hårdvaruplattformar, kommer det bara att acceptera 32-bitars applikationer.
Boot alternativ
Den vackert utformade och välorganiserade startmenyn låter dig direkt och permanent installera distributionen på en lokal enhet. Dessutom kan du installera operativsystemet i textläge, utföra en obevakad installation, köra ett minnesdiagnostiskt test med Memtest86 + -verktyget, samt att se detaljerad hårdvaruinformation med hårddiskdetekteringsverktyget (HDT).
Mycket enkelt att använda textlägesinstallationsprogram
Hela installationsprocessen är textbaserad och kräver att användaren bara väljer ett språk (stödda språk inkluderar engelska, turkiska, polska, ryska, holländska, spanska, franska och tyska), acceptera licensen och partitionera skivan (stödda filsystem inkluderar EXT2, EXT3, EXT4 och ReiserFS).
Efter installationen är det ett måste att välja tangentbordslayout och tidszon, ange maskinens värdnamn och domännamn, ange ett lösenord för root (systemadministratör) och adminkonton samt konfigurera nätverket ( inkluderar DNS, Gateway, IP-adress, drivrutiner och nätverkskortinställningar).
Slutsats
Summariserar är IPFire en av världens bästa öppen källväggsfördelningar av Linux, konstruerad för att leverera toppmoderna brandväggar, VPN-gateway och proxyserverkomponenter. Dess design är modulär och flexibel, vilket innebär att dess funktionalitet kan utvidgas genom plugins.
Vad är nytt i den här utgåvan:
- Endast proxy för RAM:
- I vissa installationer kan det vara önskvärt att bara låta proxybuffertobjekten vara i minnet och inte på disken. Speciellt när Internet-anslutning är snabb och lagring är långsam är det här mest användbart.
- Webben-användargränssnittet tillåter nu att ställa in diskens cachestorlek till noll vilket helt och hållet kommer att inaktivera diskcachen. Tack till Daniel för att arbeta på detta.
- OpenVPN 2.4:
- IPFire har migrerats till OpenVPN 2.4 som introducerar nya cifrar i AES-GCM-klassen som ökar genomströmningen på system som har maskinvaruacceleration för det. Uppdateringen ger också olika andra mindre förbättringar.
- Erik har arbetat med integration, vilket har krävt något arbete under huven men är kompatibel med tidigare konfigurationer för både roadwarrior-anslutningar och nät-till-nät-anslutningar.
- Förbättrad kryptografi:
- Kryptografi är en av grunden till ett säkert system. Vi har uppdaterat distributionen för att använda den senaste versionen av OpenSSL kryptografibiblioteket (version 1.1.0). Detta kommer med ett antal nya cifrar och större refactering av kodbasen har genomförts.
- Med denna ändring har vi bestämt oss för att helt avskriva SSLv3 och webbgränssnittet kräver TLSv1.2 vilket också är standard för många andra tjänster. Vi har konfigurerat en härdad lista över cifrar som endast använder senaste algoritmer och helt tar bort brutna eller svaga algoritmer som RC4, MD5 och så vidare.
- Kontrollera innan du uppdaterar om du är beroende av någon av dem och uppgradera dina beroende system.
- Olika paket i IPFire måste patchas för att kunna använda det nya biblioteket. Detta stora arbete var nödvändigt för att tillhandahålla IPFire med den senaste krypteringen, migrera bort från avlägsna algoritmer och utnyttja ny teknik. Till exempel finns ChaCha20-Poly1305 ciphersuite som fungerar snabbare på mobila enheter.
- Den gamla versionen av OpenSSL-biblioteket (1.0.2) finns fortfarande kvar i systemet av kompatibilitetsskäl och kommer att behållas av oss under en kort stund. Så småningom kommer detta att tas bort helt, så migrera alla anpassade tillägg borta från att använda OpenSSL 1.0.2.
- Övrigt:
- Pakfire har nu lärt sig vilka spegelservrar som stöder HTTPS och kommer automatiskt att kontakta dem via HTTPS. Detta förbättrar privatlivet.
- Vi har också börjat fas en av vår planerade Keyfire-nyckelövergång.
- Sökväg MTU Discovery har inaktiverats i systemet. Detta har kontinuerligt skapat problem med stabiliteten hos IPsec-tunnlar som har valt sökvägar över nät som är felaktigt konfigurerade.
- QoS-mallen kan felberäkna den bandbredd som nu har fastställts så att summan av den garanterade bandbredden över alla klasser inte överstiger 100%.
- Uppdaterade paket:
- bind 9.11.3, curl 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotat 3.14.0, Net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, obundet 1.7.0, vnstat 1.18
- Tillägg:
- Dessa tillägg har uppdaterats: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2
Vad är nytt i version:
- OpenSSL 1.0.2n:
- En måttlig och en säkerhetsrisk med låg säkerhet har blivit patched i OpenSSL 1.0.2n. Den officiella säkerhetsrådgivningen finns här.
- IPsec:
- Det är nu möjligt att definiera inaktivitetsutlösningstiden när en tomgångs IPsec VPN-tunnel stängs
- Stöd för MODP-grupper med undergrupper har tappats
- Komprimering är nu inaktiverad som standard eftersom den inte är särskilt effektiv alls
- strongswan har uppdaterats till 5.6.1
- OpenVPN:
- Det är nu lättare att leda OpenVPN Roadwarrior Clients till IPsec VPN-nätverk genom att välja rutter i varje kunds konfiguration. Detta gör det lättare att konfigurera nav-och-talade mönster.
- Bygg verktygslåda:
- Vissa byggnadsskript har refactored för att städa upp byggprocessen och verktygskedjan har flyttats från / verktyg till / tools_ & lt; arch>.
- nasm, Net Assembler, har uppdaterats till 2.13.2
- Övrigt:
- SSL-komprimering och SSL-sessionen har blivit inaktiverade i Apache. Detta kommer att förbättra säkerheten för webbgränssnittet.
- På olika ställen finns GeoIP-information tillgänglig där IP-adresser visas och den informationen är användbar att känna till
- Lägga till statiska rutter över webbgränssnittet har fixats
- Några estetiska problem på konfigurationssidorna för captive har fixats och den captive portalen samarbetar nu med proxyen i transparent läge
- Syslogging till en ta bort server kan nu konfigureras för att antingen använda TCP eller UDP
- Tillägg:
- Samba har uppdaterats för att åtgärda flera säkerhetsproblem
- mc har uppdaterats till 4,8.20
- nano har uppdaterats till 2.9.1
- sslscan, vsftpd och pound har blivit tappade eftersom de inte upprätthålls uppströms längre och oförenliga med OpenSSL 1.1.0
Vad är nytt i version 2.19 Core 116 / 3.0 Alpha 1:
- openssl 1.0.2m:
- OpenSSL-projektet släppte version 1.0.2m och utfärdade två säkerhetsrådgivningar under den senaste veckan. De två sårbarheter som upptäcktes var av måttlig och låg säkerhet, men vi har bestämt oss för att skicka dig denna uppdatering så snart som möjligt. Därför rekommenderas att uppdatera så snart som möjligt också.
- Den allvarligare sårbarheten refererad till som CVE-2017-3736 löser ett problem med moderna Intel Broadwell- och AMD Ryzen-processorer där OpenSSL använder några moderna DMI1-, DMI2- och ADX-tillägg och beräknar kvadratroten felaktigt. Det här kan utnyttjas av en angripare som kan lägga betydande resurser på att återställa en privat nyckel, tyvärr är denna attack fortfarande ansedd nästan ouppnåelig av OpenSSLs säkerhetsteam.
- Den mindre allvarliga sårbarheten orsakades av överläsningscertifikatdata när ett certifikat har en felaktig IPAddressFamily-förlängning. Detta kan leda till felaktig visning av certifikatet i textformat. Denna sårbarhet spåras under CVE-2017-3735.
- Övrigt:
- wget drabbades också av två säkerhetsproblem som gjorde det möjligt för en angripare att utföra godtycklig kod. De refereras under CVE-2017-13089 och CVE-2017-13090.
- Apache uppdaterades till version 2.4.29 som fixar ett antal fel.
- Snort har uppdaterats till version 2.9.11.
- xz har också uppdaterats till version 5.2.3 som ger olika förbättringar.
Vad är nytt i version 2.19 Core 113 / 3.0 Alpha 1:
- Vem är online ?:
- Vem är online? (eller WIO i korthet) har äntligen kommit till IPFire. Den har blivit portad av den ursprungliga författaren Stephan Feddersen och Alex Marx och finns som ett vanligt tilläggspaket som heter wio.
- Det är en inbyggd övervakningstjänst för det lokala nätverket som visar vilka enheter som är anslutna, vilka som är online och kan också skicka larm på olika händelser. Ge det ett försök!
- Övrigt:.
- DNS-rotnycklarna har uppdaterats för att göra DNS-arbetet utöver oktober 2017 efter att DNSSEC-nyckelöverföringen har utförts.
- Seriekonsoler upptäcker automatiskt baudraten när kärnan har startats
- Paketuppdateringar av Matthias Fischer: bind 9.11.2, gnutls 3.5.14, libgcrypt 1.8.0, logrotat 3.12.3, nano 2.8.6, pcre 8.41, bläckfisk 3,5.26, obundet 1.6.4
- Add-Ons:
- iftop har uppdaterats till 1.0pre4 av Erik Kapfer
- Matthias Fischer uppdaterad: hostapd 2.6, tor 0.3.0.10
Vad är nytt i version 2.19 Core 112 / 3.0 Alpha 1:
- Denna Core Update kommer huvudsakligen med uppdateringar under huven. Kärnsystemsbibliotek har uppdaterats till nya större versioner och byggverktyget har stora uppdateringar.
- Dessa är:
- glibc 2.25
- GNU Compiler Collection 6.3.0
- binutils 2.29
- Python 2.7.13
- ccache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, säkring 2.9.7, boost 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, libarchive 3.3.1 , libgcrypt 1.7.7, libgpg-error 1.27, libxml2 2.9.4, mdadm 4.0, openssl 1.0.2l, pkg-config 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, bläckfisk 3,5.26, strongswan 5.5.3 , obundet 1.6.3, util-Linux 2.28.2
- Övrigt:
- openvpn (2.3.17) har fått några säkerhetsuppdateringar som nyligen har upptäckts.
- Sårbarhet i fjärrkommandon i ids.cgi har stängts av med kan användas av autentiserade användare för att köra skalkommandon med icke-överordnade rättigheter.
- Det är nu möjligt att skapa nätverk i brandväggen som är ett delnät i någon av de interna zonerna.
- Verktygslåda och byggnadsskript har också rengjorts och förbättrats.
- IPFire netboot har uppdaterats så att alltid den bästa arkitekturen för ett system används (dvs 64 bitarsversionen installeras när systemet stöder det).
- Tillägg:
- Uppdaterad:
- 7zip 16.02
- fågel 1.6.3
- cyrus-imapd 2.5.11
- iperf 2.0.9
- directfb 1.7.7
- freeradius 3.0.14
- övervakning 5.23.0
- miniupnpd lyssnar nu på GREEN som standard
- tmux 2.5
- tor 3.0.8
- Tappat:
- imspector och tcpick hålls inte längre uppströms
Vad är nytt i version 2.19 Core 111 / 3.0 Alpha 1:
- WPA Enterprise Authentication i klientläge:
- Brandväggen kan nu autentisera sig med ett trådlöst nätverk som använder Extensible Authentication Protocol (EAP). Dessa används vanligtvis i företag och kräver ett användarnamn och lösenord för att ansluta till nätverket.
- IPFire stöder PEAP och TTLS som är de två vanligaste. De finns i den konfigurerade på sidan "WiFi-klient" som bara visas när det röda gränssnittet är en trådlös enhet. På den här sidan visas också status och protokoll som används för att upprätta anslutningen.
- Indexsidan visar också olika uppgifter om status, bandbredd och kvalitet på anslutningen till ett trådlöst nätverk. Det fungerar också för trådlösa nätverk som använder WPA / WPA2-PSK eller WEP.
- QoS Multi-Queuing:
- Kvaliteten på tjänsten använder nu alla CPU-kärnor för att balansera trafiken. Innan användes endast en processorkärna som orsakade en långsammare anslutning på system med svagare processorer som Intel Atom-serien etc. men snabba Ethernet-adaptrar. Detta har nu ändrats så att en processor inte längre är en flaskhals längre.
- Nya krypteringsinställningar:
- I många delar av IPFire spelar kryptografiska algoritmer en stor roll. De åldras emellertid. Därför har vi ändrat standardinställningarna på nya system och för nya VPN-anslutningar till något som är nyare och anses vara robustare.
- IPsec:
- Den senaste versionen av strongSwan stöder Curve 25519 för IKE- och ESP-förslagen, som också finns tillgänglig i IPFire nu och aktiverat som standard.
- Standardinställningen för nya anslutningar tillåter nu endast de uttryckligen valda algoritmerna som maximerar säkerheten men kan ha en kompatibilitetspåverkan för äldre kamrater: SHA1 tappas, SHA2 256 eller högre måste användas; Grupptypen måste använda en nyckel med längden 2048 bit eller större
- Eftersom vissa människor använder IPFire i anslutning till gammal utrustning, är det nu tillåtet att välja MODP-768 i IKE- och ESP-förslagen. Detta anses vara brutet och markerat så.
- OpenVPN:
- OpenVPN använde SHA1 för integritet som standard som nu har ändrats till SHA512 för nya installationer. Tyvärr kan OpenVPN inte förhandla om detta via anslutningen. Så om du vill använda SHA512 på ett befintligt system måste du också ladda ner alla klientanslutningar också.
- Olika markörer har lagts till för att markera att vissa algoritmer (t.ex. MD5 och SHA1) anses vara brutna eller kryptografiskt svaga.
- Övrigt:.
- IPsec VPN kommer att visas som "Ansluta" när de inte är etablerade, men systemet försöker
- En avstängningsbugg har fixats som fördröjer att systemet stängs av när det röda gränssnittet konfigurerades som statiskt
- DNSSEC-statusen visas nu korrekt på alla system
- Följande paket har uppdaterats: acpid 2.0.28, bind 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, fil 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logrotate 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.2l (endast buggfixar), openvpn 2.3.16 som fixar CVE-2017-7479 och CVE-2017-7478, pcre 8.40 , pkg-config 0.29.1, rttool 1.6.0, strongswan 5.5.2, obundet 1.6.2, unzip 60, vnstat 1.17
- Matthias Fischer bidrog med några kosmetiska ändringar för brandväggsloggen
- Gabriel Rolland förbättrade den italienska översättningen
- Olika delar av byggsystemet har rengjorts
- Tillägg:
- Nya tillägg:
- ltrace: Ett verktyg för att spåra bibliotekets samtal av ett binärt
- Uppdaterade tillägg:
- Samba-tillägget har blivit patchat för ett säkerhetsproblem (CVE-2017-7494) som möjliggjorde en fjärrkod som körs på skrivbara aktier.
- ipset 6.32
- libvirt 3.1.0 + python3-libvirt 3.6.1
- git 2.12.1
- nano 2.8.1
- netsnmpd som nu stöder läktemperatur sensorer med hjälp av lm_sensors
- nmap 7.40
- tor 0.3.0.7
Vad är nytt i version 2.19 Core 109 / 3.0 Alpha 1:
- DNS-korrigeringar:
- DNS-proxy som fungerar inom IPFire har uppdaterats till obegränsat 1.6.0 vilket ger olika buggfixar. Därför har QNAME-minimering och härdning under NX-domäner aktiverats igen.
- Vid starttid kontrollerar IPFire nu också om en router framför IPFire släpper DNS-svar som är längre än ett visst tröskelvärde (vissa Cisco-enheter gör det här för att "härda" DNS). Om detta upptäcks sänker EDNS-buffertstorleken om den reduceras, vilket gör obundet, tillbaka till TCP för större svar. Detta kan sakta ner DNS, men det fungerar trots allt i de felkonfigurerade miljöerna.
- Övrigt:
- openssl har uppdaterats till 1.0.2k som fixar ett antal säkerhetsproblem med "måttlig" svårighetsgrad
- Kärnan stöder nu några nyare eMMC-moduler
- Säkerhetsskriptet arbetar nu mer pålitligt på alla arkitekturer
- Nätverksskripten som skapade MACVTAP-broar för virtualisering bland annat stöder nu standard 802.3-broar också
- GUI för brandväggen nekade att skapa undernät som var ett delnät av något av de vanliga nätverksnät som har fastställts Matthias Fischer skickade paketuppdateringar för: bind 9.11.0-P2 med vissa säkerhetsfixar, libpcap 1.8.1, logrotate 3.9.1, perl-GeoIP-modul 1,25, snort 2.9.9.0, bläckfisk 3,5.24 vilket fixar olika fel, sysklogd 1.5.1, zlib 1.2.11
- Dessutom har libpng uppdaterats till 1.2.57 som åtgärdar vissa säkerhetsproblem
- Tillägg:
- Jonatan Schlag packade Python 3 för IPFire
- Han uppdaterade också libvirt till version 2.5 och qemu till version 2.8
- Matthias Fischer lämnade ett antal uppdateringar för följande paket: nano 2.7.2, tcpdump 4.8.1, tmux 2.3
- tor har uppdaterats till 0.2.9.9 som åtgärdar ett antal säkerhetsavbrott i denial-of-service
- sarg har uppdaterats till 2.3.10
Vad är nytt i version 2.19 Core 108 / 3.0 Alpha 1:
- Asynkron loggning:
- Asynkron loggning är nu aktiverad som standard och kan inte konfigureras längre. Detta gjorde vissa program som skrev en omfattande mängd loggmeddelanden sakta ner och eventuellt inte svara över nätverket vilket orsakar olika problem. Detta sågs på system med mycket långsamma flashmedia och virtuella miljöer.
- Övrigt:
- Kontrollen som testar DNS-servrar för eventuell felkonfiguration förutsätter att vissa namnservrar valideras trots att de inte och sannolikt inte fungerar alls. Detta har blivit fixat nu och system som använder dessa brutna namnservrar bör återgå till rekursorläge.
- Ett problem i brandväggen GUI var fixat som förbjudet att lägga till en IPsec VPN-anslutning och OpenVPN-anslutning med samma namn till en brandväggsgrupp.
- Uppdaterade kärnpaket:
- strongswan uppdaterades till version 5.5.1 som fixar olika fel
- ntp uppdaterades till version 4.2.8p9 som åtgärdar olika säkerhetsproblem
- ddns uppdaterades till version 008
- Uppdaterade tillägg:
- nano, textredigeraren, uppdaterades till version 2.7.1
- tor, anonymitetsnätet, uppdaterades till version 0.2.8.10
Vad är nytt i version 2.19 Core 107 / 3.0 Alpha 1:
- Den här uppdateringen korrigerar IPFire Linux-kärnan mot en nyligen avslagen sårbarhet som heter Dirty COW. Det här är en lokal eskaleringsfel som kan användas av en lokal angripare för att få root-privilegier.
- En ytterligare korrigeringsfil fixar Intel-processorer med AES-NI, vilket är maskinvaran som stöder kryptering med 256 och 192 bitars nyckellängd, men har inte implementerats korrekt i Linux-kärnan
- En åtgärd för att visa den nya obundna DNS-proxyn i loggavsnittet i webbgränssnittet
- hdparm 9.5.0 och libjpeg 1.5.1 har uppdaterats
Vad är nytt i version 2.19 Core 105 / 3.0 Alpha 1:
- IPFire 2.19 Core Update 105 patchar ett antal säkerhetsproblem i två kryptografiska libaries: openssl och libgcrypt. Vi rekommenderar att du installerar den här uppdateringen så snart som möjligt och starta om IPFire-systemet för att slutföra uppdateringen.
Vad är nytt i version 2.19 Core 103 / 3.0 Alpha 1:
- Förbättringar av webbproxy:
- Webproxy bläckfisken har uppdaterats till 3,5-serien och olika förbättringar för stabilitet och prestanda gjordes.
- På maskiner med långsamma hårddiskar eller på installationer med mycket stora cachar skulle det sannolikt inträffa att cacheindexet blev skadat när proxyn stängdes av. Detta resulterade i en instabil webproxy efter nästa start.
- Avstängningsrutinen förbättrades så att ett cacheindexkorruption nu är mycket osannolikt. Dessutom har vi medel installerade som gör det möjligt för oss att upptäcka om cachepladsen var skadad och om så har den återuppbyggts automatiskt vid nästa start. Med den här uppdateringen raderas det förmodligen skadade indexet på alla installationer och startar en ombyggnad av indexet, vilket kan resultera i en långsam drift av proxyn en kort stund efter installationen av uppdateringen.
- Övrigt:
- Lös upp inställningskommandot så att det visar mer än 6 nätverkskontroller
- Tidzondatabasen har uppdaterats
- Allmänt tillåta underskrifter i domännamn
- Uppdaterade paket: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, mindre 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
- Uppdaterade tillägg:
- 7zip 15.14.1
- clamav 0.99.2
- hostapd 2.5
- Midnight Commander 4.8.17
- nfs (ersätter portkarta med rpcbind)
- tor 0.2.7.6
Vad är nytt i version 2.19 Core 102 / 3.0 Alpha 1:
Nytt i IPFire 2.19 Core 101 (3 maj 2016)
Vad är nytt i version 2.19 Core 100 / 3.0 Alpha 1:
- Med den här uppdateringen får du IPFire 2.19 som vi släpper för 64 bitars på Intel (x86_64) för första gången. Den här utgåvan försenades av de olika säkerhetsproblemen i openssl och glibc, men är packad med många förbättringar under huven och olika buggfixar.
- 64 bit:
- Det kommer ingen automatisk uppdateringsväg från en 32-bitars installation till en 64-bitars installation. Det krävs att man installerar systemet manuellt för dem som vill ändra, men en tidigare genererad säkerhetskopiering kan återställas så att hela proceduren normalt tar mindre än en halvtimme.
- Det finns inte många fördelar med en 64-bitarsversion, förutom att vissa mindre prestanda ökar för vissa användningsfall och givetvis förmågan att hantera mer minne. IPFire kan adressera upp till 64 GB RAM på 32 bitar, så det finns inte mycket behov av att migrera. Vi rekommenderar att du använder 64 bitars bilder för nya installationer och håller fast med befintliga installationer som de är.
- Uppdatering av kärnan:
- Som med alla större versioner kommer den här med en uppdaterad Linuxkärna för att fixa fel och förbättra maskinvarukompatibiliteten. Linux 3.14.65 med många bakåtförda drivrutiner från Linux 4.2 är också härdad starkare mot vanliga attacker som stackbuffertöverflöden.
- Många firmwareblock för trådlösa kort och andra komponenter har uppdaterats precis som hårdvarubasen.
- Prestanda för Hyper-V:
- En backport av en ny version av Microsoft Hyper-V-nätverksdrivrutinsmodulen tillåter att data överförs med högre hastigheter igen. Tidigare versioner hade endast mycket dålig genomströmning på vissa versioner av Hyper-V.
- Brandväggsuppdateringar:
- Det är nu möjligt att aktivera eller inaktivera vissa anslutningsspårningsmoduler. Dessa ALG-moduler (Application Layer Gateway) hjälper vissa protokoll som SIP eller FTP att fungera med NAT. Vissa VoIP-telefoner eller PBX har problem med dem så att de nu kan inaktiveras. Vissa behöver dem.
- Brandväggen har också optimerats för att möjliggöra mer genomströmning med lite mindre systemresurser.
- Övrigt:
- Många program och verktyg i verktygskedjan som används har uppdaterats. En ny version av GNU Compiler Collections erbjuder effektivare kod, starkare härdning och kompatibilitet för C ++ 11
- GCC 4.9.3, binutils 2.24, bison 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
- dnsmasq, IPFire-intern DNS-proxy har uppdaterats och många instabilitetsproblem har blivit fixade
- openvpn har uppdaterats till version 2.3.7 och de genererade konfigurationsfilerna har uppdaterats för att vara kompatibla med kommande versioner av OpenVPN
- IPFire väntar nu med uppstart när tiden behöver synkroniseras och DHCP används tills anslutningen är etablerad och fortsätter sedan starta upp
- bindningen uppdaterades till version 9.10.3-P2
- ntp uppdaterades till version 4.2.8p5
- tzdata, databasen för tidszondefinitioner, uppdaterades till version 2016b
- Olika kosmetiska korrigeringar gjordes på webben användargränssnittet
- Ett fel som orsakar att VLAN-enheter inte skapas när föräldern NIC kommer upp har fixats
- DHCP-klient: Återställ MTU på brutna NICs som förlorar länk har fixats
- En ramdisk för att lagra databaserna i diagrammen som visas i webbgränssnittet används nu som standard igen på installationer som använder blixtbilden när mer än 400 MB minne är tillgängligt
- Ett fel som inte kunde stoppas av kvaliteten på tjänsten har fastställts
- En del gammal kod har blivit renoverad och någon oanvänd kod har tappats i några interna IPFire-komponenter
- Tillägg:
- owncloud har uppdaterats till version 7.0.11
- nano har uppdaterats till version 2.5.1
- rsync har uppdaterats till version 3.1.2
Vad är nytt i version 2.17 Core 98 / 3.0 Alpha 1:
- På grund av ett nyligen upptäckt säkerhetsproblem i glibc släpper vi ut denna kärnuppdatering som innehåller en fix för CVE-2015-7547.
- Getaddrinfo () -gränssnittet är glibc, systemets huvudsakliga C-bibliotek, används för att lösa namn i IP-adresser med DNS. En angripare kan utnyttja processen i systemet som utför den här förfrågan genom att skicka ett smidigt svar som för länge orsakar en stapelbuffertflöde. Koden kan eventuellt injiceras och utföras.
- IPFire utnyttjas dock inte direkt av denna sårbarhet eftersom den använder en DNS-proxy, som avvisar DNS-svar som är för långa. Så IPFire själv och alla system på nätverket som använder IPFire som DNS-proxy är skyddade av DNS-proxy. Men vi bestämde oss för att trycka ut en korrigeringsfil för denna sårbarhet så fort vi kan.
Vad är nytt i version 2.17 Core 94 / 3.0 Alpha 1:
- OpenSSH:
- OpenSSH uppdaterades till version 7.1p1. Därmed lade vi till stöd för elliptiska kurvor (ECDSA och ED25519) och tog bort stöd för DSA som anses vara bruten. För små RSA-nycklar tas också bort och regenereras. Dessa ändringar kan behöva importera nycklarna till IPFire-systemet på din admin-dator igen.
- Intern postagent
- En intern postagent har lagts till som används av interna tjänster för att skicka rapporter eller varningar. Hittills använder endast några tjänster detta (som bläckfisk redovisningstillägg), men vi förväntar oss att lägga till fler saker i framtiden.
- Det här är ett väldigt enkelt och lättmässigt e-postagent som kan konfigureras på webbgränssnittet och vanligtvis kräver en uppströms mailserver.
- IPsec MOBIKE:
- En ny kryssruta på sidan för avancerade inställningar för en IPsec-anslutning har lagts till. Det gör det möjligt att tvinga använda MOBIKE, en teknik för IPsec att övergå NAT bättre. Ibland när bakom felaktiga routrar kan IPsec-anslutningar etableras, men inga data kan överföras och anslutningen går sönder snabbt (vissa routrar har svårigheter att vidarebefordra DPD-paket). MOBIKE kringgår det genom att använda UDP-port 4500 för IKE-meddelanden.
- Övrigt:
- Obligatoriska fält är nu markerade med en stjärna. Tidigare var detta tvärtom så att valfria fält var markerade med en stjärna, vilket inte längre ses på nätet längre.
- En månadsfördröjd ddns-uppdatering tas bort eftersom ddns tar hand om att hålla alla poster uppdaterade och uppdatera dem efter 30 dagar om det behövs.
- brandinfo: Några krascher fixades med ID-nummer som bara innehåller 0xff
- Uppdaterade paket:
- bind 9.10.2-P4, coreutils 8.24, dnsmasq har de senaste ändringarna importerats, fil 5.24, glibc (säkerhetsfixar), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-error 1,20, pcre för mer buffertöverflöden), rttool 1.5.4, bläckfisk 3,4.14
Vad är nytt i version 2.17 Core 93 / 3.0 Alpha 1:
- DDNS-klientuppdatering:
- ddns, vår dynamiska DNS-uppdateringsklient, har uppdaterats till version 008. Denna version är mer robust mot nätverksfel på sökvägen och serverfel hos leverantören. Uppdateringar kommer sedan att försökas ofta.
- Leverantörerna joker.com och DNSmadeEasy stöds nu
- En krasch när uppdatering av namncheap-poster har fastställts
- Övrigt:
- Pakfire fixades och tar nu rätt extra beroenden av tilläggspaket vid uppdatering från en äldre version.
- TRIM är inaktiverat på vissa SSD-enheter med kända firmware-fel som orsakar dataförlust.
- bläckfisk-redovisning: Fix olika typsnitt i översättningar
- /etc/ipsec.user-post.conf läggs till säkerhetskopian om den existerar
- Uppdaterade paket:
- bind 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-stabila (flyttas till kärnsystemet från add-on), libpcap 1.7.4, nettle 3.1.1, pcre (fixar CVE -2015-5073), bläckfisk 3,4,14
- Tillägg:
- koppar 2.0.4, gör 4.1, nano 2.4.2
Kommentarer hittades inte