IPFire est un système d'exploitation open source conçu pour fonctionner comme un système de pare-feu dédié, sécurisé et flexible basé sur certaines des meilleures technologies Linux, telles que iptables, OpenSSL et OpenSSH.
Distribué en tant qu'image ISO 32 bits
Ce petit système d'exploitation peut être téléchargé via Softoware ou sur son site officiel (voir lien ci-dessus) comme une seule image ISO CD installable d'environ 150 Mo, étiquetée uniquement pour l'architecture du jeu d'instructions 32 bits (i586). Pendant que la distribution démarre et s'installe sur les plates-formes matérielles 64 bits, elle n'accepte que les applications 32 bits.
Options de démarrage
Le menu de démarrage magnifiquement conçu et bien organisé vous permettra d'installer directement et de façon permanente la distribution sur un disque local. De plus, vous pourrez installer le système d'exploitation en mode texte, effectuer une installation sans assistance, lancer un test de diagnostic avec l'utilitaire Memtest86 +, ainsi que voir des informations détaillées sur le matériel avec l'outil de détection de matériel (HDT). p>
Programme d'installation en mode texte très facile à utiliser
L'ensemble du processus d'installation est basé sur du texte et nécessite que l'utilisateur ne sélectionne qu'une langue (les langues prises en charge sont l'anglais, le turc, le polonais, le russe, le néerlandais, l'espagnol, le français et l'allemand), accepte la licence et partitionne le disque. (Les systèmes de fichiers pris en charge incluent EXT2, EXT3, EXT4 et ReiserFS).
Après l'installation, il est indispensable de sélectionner une disposition de clavier et un fuseau horaire, entrer le nom d'hôte et le nom de domaine de la machine, entrer un mot de passe pour les comptes root (administrateur système) et administrateur comprend les paramètres DNS, Passerelle, Adresse IP, Pilotes et Carte réseau).
Ligne de fond
En résumé, IPFire est l'une des meilleures distributions de pare-feu Open Source de Linux, conçue pour fournir des composants de pare-feu, de passerelle VPN et de serveur proxy à la fine pointe de la technologie. Sa conception est modulaire et flexible, ce qui signifie que ses fonctionnalités peuvent être étendues via des plugins.
Quoi de neuf dans cette version:
- Proxy RAM seulement:
- Dans certaines installations, il peut être souhaitable de laisser uniquement le proxy mettre en cache les objets en mémoire et non sur le disque. Surtout quand la connectivité Internet est rapide et que le stockage est lent, c'est très utile.
- L'interface Web permet désormais de définir la taille du cache disque à zéro, ce qui désactivera complètement le cache disque. Merci à Daniel d'avoir travaillé dessus.
- OpenVPN 2.4:
- IPFire a migré vers OpenVPN 2.4 qui introduit de nouveaux chiffrements de la classe AES-GCM, ce qui augmentera le débit sur les systèmes dotés d'une accélération matérielle. La mise à jour apporte également diverses autres améliorations plus petites.
- Erik a travaillé sur l'intégration ce qui a nécessité un certain travail sous le capot mais est compatible avec toutes les configurations précédentes pour les connexions roadwarrior et les connexions net-to-net.
- Cryptographie améliorée:
- La cryptographie est l'un des fondements d'un système sécurisé. Nous avons mis à jour la distribution pour utiliser la dernière version de la bibliothèque de cryptographie OpenSSL (version 1.1.0). Cela vient avec un certain nombre de nouveaux chiffrements et une refonte majeure de la base de code a été effectuée.
- Avec ce changement, nous avons décidé de complètement déprécier SSLv3 et l'interface utilisateur web nécessitera TLSv1.2 qui est également la valeur par défaut pour de nombreux autres services. Nous avons configuré une liste de chiffrements durcis qui n'utilise que des algorithmes récents et supprime entièrement les algorithmes cassés ou faibles tels que RC4, MD5, etc.
- Veuillez vérifier avant cette mise à jour si vous comptez sur celles-ci et mettez à niveau vos systèmes dépendants.
- Divers paquets dans IPFire ont dû être patché pour pouvoir utiliser la nouvelle bibliothèque. Ce travail majeur a été nécessaire pour fournir à IPFire la dernière cryptographie, migrer loin des algorithmes obsolètes et tirer parti de la nouvelle technologie. Par exemple, la suite de chiffrement ChaCha20-Poly1305 est disponible et fonctionne plus rapidement sur les appareils mobiles.
- L'ancienne version de la bibliothèque OpenSSL (1.0.2) est toujours laissée dans le système pour des raisons de compatibilité et continuera à être maintenue par nous pendant un petit moment. Finalement, ceci sera complètement supprimé, donc s'il vous plaît migrez tous les add-ons construits sur mesure à partir de OpenSSL 1.0.2.
- Divers:
- Pakfire a maintenant appris quels serveurs miroirs supportent HTTPS et les contacteront automatiquement via HTTPS. Cela améliore la confidentialité.
- Nous avons également commencé la première phase de notre transfert de clés Pakfire prévu.
- Path MTU Discovery a été désactivé dans le système. Cela a continuellement créé des problèmes avec la stabilité des tunnels IPsec qui ont choisi des chemins sur des réseaux mal configurés.
- Le modèle QoS pourrait mal calculer la bande passante qui a maintenant été fixée que la somme de la bande passante garantie sur toutes les classes ne dépasse pas 100%
- Packages mis à jour:
- bind 9.11.3, curl 7.59.0, dmidecode 3.1, gnupg 1.4.22, hdparm 9.55, logrotate 3.14.0, net-SSLeay 1.82, ntp 4.2.8p11, openssh 7.6p1, python-m2crypto 0.27.0, non consolidé 1.7.0, vnstat 1.18
- Modules complémentaires:
- Ces add-ons ont été mis à jour: clamav 0.99.4, htop 2.1.0, krb5 1.15.2, ncat 7.60, nano 2.9.4, rsync 3.1.3, tor 0.3.2.10, wio 1.3.2
Quoi de neuf dans la version:
- OpenSSL 1.0.2n:
- Une vulnérabilité de sécurité modérée et une vulnérabilité de sécurité faible ont été corrigées dans OpenSSL 1.0.2n. L'avis de sécurité officiel peut être trouvé ici.
- IPsec:
- Il est maintenant possible de définir le délai d'inactivité lorsqu'un tunnel VPN IPsec inactif est en cours de fermeture
- La prise en charge des groupes MODP avec des sous-groupes a été supprimée
- La compression est maintenant désactivée par défaut car elle n'est pas très efficace
- strongswan a été mis à jour à 5.6.1
- OpenVPN:
- Il est maintenant plus facile de router les clients OpenVPN Roadwarrior vers des réseaux VPN IPsec en choisissant des routes dans la configuration de chaque client. Cela facilite la configuration des conceptions hub-and-spoke.
- Construire la chaîne d'outils:
- Certains scripts de construction ont été refactorisés pour nettoyer le processus de construction et la chaîne d'outils a été déplacée de / tools vers / tools_ & lt; arche & gt;.
- nasm, l'assembleur net, a été mis à jour en version 2.13.2
- Divers:
- Les tickets de compression SSL et de session SSL ont été désactivés dans Apache. Cela améliorera la sécurité de l'interface utilisateur Web.
- À divers endroits, les informations GeoIP sont disponibles là où les adresses IP sont affichées et que l'information est utile à connaître
- L'ajout d'itinéraires statiques sur l'interface utilisateur Web a été corrigé
- Certains problèmes esthétiques sur les pages de configuration du portail captif ont été corrigés et le portail captif travaille maintenant avec le proxy en mode transparent
- Syslogging sur un serveur de suppression peut maintenant être configuré pour utiliser TCP ou UDP
- Modules complémentaires:
- Samba a été mis à jour pour corriger plusieurs problèmes de sécurité
- mc a été mis à jour à 4.8.20
- nano a été mis à jour en version 2.9.1
- sslscan, vsftpd et Pound ont été supprimés car ils ne sont plus maintenus en amont et sont incompatibles avec OpenSSL 1.1.0
Quoi de neuf dans la version 2.19 Core 116 / 3.0 Alpha 1:
- openssl 1.0.2m:
- Le projet OpenSSL a publié la version 1.0.2m et publié deux avis de sécurité la semaine dernière. Les deux vulnérabilités découvertes étaient de sécurité modérée et faible, mais nous avons décidé de vous envoyer cette mise à jour dès que possible. Il est donc recommandé de mettre à jour aussi vite que possible.
- La vulnérabilité plus sévère référencée CVE-2017-3736 corrige un problème avec les processeurs modernes Intel Broadwell et AMD Ryzen où OpenSSL utilise certaines extensions modernes DMI1, DMI2 et ADX et calcule incorrectement la racine carrée. Cela pourrait être exploité par un attaquant capable de récupérer plus facilement des ressources importantes dans la récupération d'une clé privée, même si cette attaque est toujours considérée comme pratiquement irréalisable par l'équipe de sécurité OpenSSL.
- La vulnérabilité la moins grave a été causée par le dépassement des données de certificat lorsqu'un certificat a une extension IPAddressFamily malformée. Cela pourrait conduire à un affichage erroné du certificat au format texte. Cette vulnérabilité est suivie sous CVE-2017-3735.
- Divers:
- wget souffrait également de deux failles de sécurité qui permettaient à un attaquant d'exécuter du code arbitraire. Ils sont référencés sous CVE-2017-13089 et CVE-2017-13090.
- apache a été mis à jour vers la version 2.4.29 qui corrige un certain nombre de bogues.
- snort a été mis à jour vers la version 2.9.11.
- xz a également été mis à jour vers la version 5.2.3 qui apporte diverses améliorations.
Quoi de neuf dans la version 2.19 Core 113 / 3.0 Alpha 1:
- Qui est en ligne?:
- Qui est en ligne? (ou WIO en bref) est finalement arrivé sur IPFire. Il a été porté par l'auteur original Stephan Feddersen et Alex Marx et est disponible sous forme de paquetage habituel appelé wio.
- C'est un service de surveillance intégré pour le réseau local qui montre quels appareils sont connectés, lesquels sont en ligne et peuvent également envoyer des alarmes sur divers événements. Essayez-le!
- Divers:
- Les clés du système DNS ont été mises à jour pour que le DNS fonctionne au-delà d'octobre 2017 après l'exécution du transfert de clé DNSSEC
- Les consoles sérielles détectent automatiquement le débit en baud après le démarrage du noyau
- Mises à jour du paquet par Matthias Fischer: bind 9.11.2, gnutls 3.5.14, libgcrypt 1.8.0, logrotate 3.12.3, nano 2.8.6, pcre 8.41, calmar 3.5.26, non lié 1.6.4
- Add-Ons:
- iftop a été mis à jour à 1.0pre4 par Erik Kapfer
- Matthias Fischer mis à jour: hostapd 2.6, tor 0.3.0.10
Nouveautés dans la version 2.19 Core 112 / 3.0 Alpha 1:
- Cette mise à jour de base vient principalement avec des mises à jour sous le capot. Les bibliothèques du système principal ont été mises à jour vers de nouvelles versions majeures et la chaîne d'outils de construction a reçu des mises à jour majeures.
- Ce sont:
- glibc 2,25
- GNU Compiler Collection 6.3.0
- binutils 2,29
- Python 2.7.13
- ccache 3.3.4, bc 1.07.1, cmake 3.8.1, flex 2.6.4, fusible 2.9.7, boost 1.64.0, gawk 4.1.4, gnutls 3.5.11, grep 2.27, libarchive 3.3.1 , libgcrypt 1.7.7, libgpg-erreur 1.27, libxml2 2.9.4, mdadm 4.0, openssl 1.0.2l, pkg-config 2.29.2, reiserfsprogs 3.6.25, SDL 1.2.15, squid 3.5.26, strongswan 5.5.3 , non consolidé 1.6.3, util-linux 2.28.2
- Divers:
- openvpn (2.3.17) a reçu des mises à jour de sécurité récemment découvertes.
- Une vulnérabilité d'exécution de commande à distance dans ids.cgi a été fermée et pourrait être utilisée par les utilisateurs authentifiés pour exécuter des commandes shell avec des droits non-super-utilisateur.
- Il est maintenant possible de créer des réseaux dans le pare-feu qui sont un sous-réseau de l'une des zones internes.
- La chaîne d'outils et les scripts de compilation ont également été nettoyés et améliorés.
- Le netboot IPFire a été mis à jour pour toujours utiliser la meilleure architecture pour un système (c'est-à-dire que la version 64 bits est installée lorsque le système le prend en charge).
- Modules complémentaires:
- Mis à jour:
- 7zip 16.02
- oiseau 1.6.3
- cyrus-imapd 2.5.11
- iperf 2.0.9
- directfb 1.7.7
- freeradius 3.0.14
- monit 5.23.0
- miniupnpd écoute maintenant par défaut sur GREEN
- tmux 2.5
- tor 3.0.8
- Supprimé:
- imspector et tcpick ne sont plus maintenus en amont
Quoi de neuf dans la version 2.19 Core 111 / 3.0 Alpha 1:
- Authentification WPA Enterprise en mode client:
- Le pare-feu peut désormais s'authentifier auprès d'un réseau sans fil utilisant le protocole EAP (Extensible Authentication Protocol). Ils sont couramment utilisés dans les entreprises et nécessitent un nom d'utilisateur et un mot de passe pour se connecter au réseau.
- IPFire supporte les protocoles PEAP et TTLS qui sont les deux plus courants. Ils peuvent être trouvés dans le configuré sur la page "WiFi Client" qui n'apparaît que lorsque l'interface RED est un appareil sans fil. Cette page montre également le statut et les protocoles utilisés pour établir la connexion.
- La page d'index présente également diverses informations sur l'état, la bande passante et la qualité de la connexion à un réseau sans fil. Cela fonctionne également pour les réseaux sans fil qui utilisent WPA / WPA2-PSK ou WEP.
- Multi-Queuing QoS:
- La qualité de service utilise désormais tous les cœurs de processeur pour équilibrer le trafic. Auparavant, un seul cœur de processeur était utilisé, ce qui provoquait une connexion plus lente sur les systèmes dotés de processeurs plus faibles, tels que la série Intel Atom, etc., mais avec des adaptateurs Ethernet rapides. Cela a maintenant été changé de sorte qu'un processeur n'est plus un goulot de bouteille.
- Nouveaux paramètres de chiffrement:
- Dans de nombreuses parties d'IPFire, les algorithmes cryptographiques jouent un rôle énorme. Cependant, ils vieillissent. Par conséquent, nous avons modifié les paramètres par défaut sur les nouveaux systèmes et pour les nouvelles connexions VPN à quelque chose de plus récent et considéré comme plus robuste.
- IPsec:
- La dernière version de strongSwan supporte Curve 25519 pour les propositions IKE et ESP qui est maintenant disponible dans IPFire et activé par défaut.
- La proposition par défaut pour les nouvelles connexions n'autorise désormais que les algorithmes explicitement sélectionnés qui maximisent la sécurité mais pourraient avoir un impact sur la compatibilité avec les anciens: SHA1 est supprimé, SHA2 256 ou supérieur doit être utilisé; le type de groupe doit utiliser une clé d'une longueur de 2048 bits ou plus
- Puisque certaines personnes utilisent IPFire en association avec des équipements anciens, il est maintenant possible de sélectionner MODP-768 dans les propositions IKE et ESP. Ceci est considéré comme brisé et marqué ainsi.
- OpenVPN:
- OpenVPN utilisait par défaut SHA1 pour l'intégrité, qui a maintenant été changé en SHA512 pour les nouvelles installations. Malheureusement, OpenVPN ne peut pas négocier cela via la connexion. Donc, si vous voulez utiliser SHA512 sur un système existant, vous devrez télécharger à nouveau toutes les connexions clientes.
- Divers marqueurs ont été ajoutés pour souligner que certains algorithmes (par exemple MD5 et SHA1) sont considérés comme cassés ou cryptographiquement faibles.
- Divers:
- Les VPNs IPsec seront affichés en tant que "Connexion" quand ils ne sont pas établis, mais le système essaie de
- Un bogue d'arrêt a été corrigé qui a retardé l'arrêt du système lorsque l'interface RED a été configurée comme statique
- L'état DNSSEC est maintenant affiché correctement sur tous les systèmes
- Les paquets suivants ont été mis à jour: acpid 2.0.28, bind 9.11.1, coreutils 8.27, cpio 2.12, dbus 1.11.12, fichier 5.30, gcc 4.9.4, gdbm 1.13, gmp 6.1.2, gzip 1.8, logrotate 3.12.1, logwatch 7.4.3, m4 1.4.18, mpfr 3.1.5, openssl 1.0.2l (corrections de bugs uniquement), openvpn 2.3.16 qui corrige CVE-2017-7479 et CVE-2017-7478, pcre 8.40 , pkg-config 0.29.1, rrdtool 1.6.0, strongswan 5.5.2, non lié 1.6.2, décompresser 60, vnstat 1.17
- Matthias Fischer a apporté quelques modifications cosmétiques pour la section du journal du pare-feu
- Gabriel Rolland a amélioré la traduction en italien
- Diverses parties du système de construction ont été nettoyées
- Modules complémentaires:
- Nouveaux modules:
- ltrace: un outil pour tracer les appels de bibliothèque d'un binaire
- Modules complémentaires mis à jour:
- L'addon samba a été corrigé pour une faille de sécurité (CVE-2017-7494) qui permettait l'exécution d'un code distant sur des partages accessibles en écriture.
- ipset 6.32
- libvirt 3.1.0 + python3-libvirt 3.6.1
- git 2.12.1
- nano 2.8.1
- netsnmpd qui prend désormais en charge la lecture des capteurs de température à l'aide de lm_sensors
- nmap 7.40
- tor 0.3.0.7
Quoi de neuf dans la version 2.19 Core 109 / 3.0 Alpha 1:
- Correctifs DNS:
- Le proxy DNS qui fonctionne dans IPFire a été mis à jour pour ne plus être lié à la version 1.6.0, ce qui apporte plusieurs corrections de bogues. Par conséquent, la minimisation et le durcissement QNAME sous les domaines NX ont été réactivés.
- Au démarrage, IPFire vérifie maintenant si un routeur devant IPFire laisse tomber des réponses DNS dépassant un certain seuil (certains périphériques Cisco le font pour "durcir" le DNS). Si cela est détecté, la taille de la mémoire tampon EDNS, si elle est réduite, permet de revenir à TCP pour les réponses plus importantes. Cela pourrait ralentir un peu le DNS, mais le garderait après tout dans ces environnements mal configurés.
- Divers:
- openssl a été mis à jour vers la version 1.0.2k qui corrige un certain nombre de failles de sécurité avec une gravité "modérée"
- Le noyau supporte maintenant certains nouveaux modules eMMC
- Le script de sauvegarde fonctionne maintenant de manière plus fiable sur toutes les architectures
- Les scripts réseau qui ont notamment créé les ponts MACVTAP pour la virtualisation prennent également en charge les ponts 802.3 standard
- L'interface graphique du pare-feu a refusé de créer des sous-réseaux qui étaient un sous-réseau de l'un des réseaux standard qui a été corrigé
- Matthias Fischer a soumis des mises à jour de paquets pour: bind 9.11.0-P2 avec quelques correctifs de sécurité, libpcap 1.8.1, logrotate 3.9.1, module perl-GeoIP 1.25, snort 2.9.9.0, calmar 3.5.24 corrige divers bogues, sysklogd 1.5.1, zlib 1.2.11
- De plus, libpng a été mis à jour en 1.2.57 ce qui corrige quelques failles de sécurité
- Modules complémentaires:
- Jonatan Schlag a empaqueté Python 3 pour IPFire
- Il a également mis à jour libvirt vers la version 2.5 et qemu vers la version 2.8
- Matthias Fischer a soumis un certain nombre de mises à jour pour les paquets suivants: nano 2.7.2, tcpdump 4.8.1, tmux 2.3
- tor a été mis à jour vers la version 0.2.9.9 qui corrige un certain nombre de vulnérabilités de déni de service
- sarg a été mis à jour en 2.3.10
Quoi de neuf dans la version 2.19 Core 108 / 3.0 Alpha 1:
- Journalisation asynchrone:
- La journalisation asynchrone est maintenant activée par défaut et n'est plus configurable. Ceci a fait ralentir certains programmes qui ont écrit une quantité importante de messages de journal et peut ne pas répondre sur le réseau, ce qui cause divers problèmes. Cela a été vu sur les systèmes avec des supports flash très lents et des environnements virtuels.
- Divers:
- La vérification qui vérifie les serveurs DNS en cas de mauvaise configuration suppose que certains serveurs de noms sont en cours de validation, bien qu'ils ne le soient pas et ne fonctionnent probablement pas du tout. Cela a été corrigé maintenant et les systèmes utilisant ces serveurs de noms brisés devraient revenir en mode récurseur.
- Un problème dans l'interface graphique du pare-feu a été résolu: il est interdit d'ajouter une connexion VPN IPsec et une connexion OpenVPN portant le même nom à un groupe de pare-feu.
- Paquets de base mis à jour:
- strongswan a été mis à jour vers la version 5.5.1 qui corrige divers bugs
- ntp a été mis à jour vers la version 4.2.8p9 qui corrige divers problèmes de sécurité
- ddns a été mis à jour vers la version 008
- Modules complémentaires mis à jour:
- nano, l'éditeur de texte, a été mis à jour vers la version 2.7.1
- tor, le réseau d'anonymat, a été mis à jour vers la version 0.2.8.10
Quoi de neuf dans la version 2.19 Core 107 / 3.0 Alpha 1:
- Cette mise à jour corrige le noyau IPFire Linux contre une vulnérabilité récemment révélée appelée Dirty COW. Il s'agit d'un bogue d'élévation de privilèges local qui pourrait être utilisé par un attaquant local pour obtenir les privilèges root.
- Un autre patch corrige les processeurs Intel avec AES-NI, qui supporte le chiffrement avec une longueur de clé de 256 et 192 bits, mais qui n'a pas été correctement implémenté dans le noyau Linux
- Un correctif pour afficher le nouveau proxy DNS non lié dans la section de journal de l'interface utilisateur Web
- hdparm 9.5.0 et libjpeg 1.5.1 ont été mis à jour
Quoi de neuf dans la version 2.19 Core 105 / 3.0 Alpha 1:
- IPFire 2.19 Core Update 105 corrige un certain nombre de problèmes de sécurité dans deux librairies cryptographiques: openssl et libgcrypt. Nous vous recommandons d'installer cette mise à jour dès que possible et de redémarrer le système IPFire pour terminer la mise à jour.
Quoi de neuf dans la version 2.19 Core 103 / 3.0 Alpha 1:
- Améliorations du proxy Web:
- Le squid du proxy web a été mis à jour vers la série 3.5 et diverses améliorations ont été apportées pour la stabilité et la performance.
- Sur les machines avec des disques durs lents ou sur des installations avec des caches très volumineux, il est probable que l'index du cache soit corrompu lorsque le proxy a été arrêté. Cela a entraîné un proxy Web instable après le prochain démarrage.
- La routine d'arrêt a été améliorée de sorte qu'une corruption d'index de cache est maintenant très improbable. De plus, nous avons installé des moyens qui nous permettent de détecter si l'index du cache a été corrompu et, le cas échéant, de le reconstruire automatiquement au prochain démarrage. Cette mise à jour supprimera l'index présumé corrompu sur toutes les installations et démarrera une reconstruction de l'index, ce qui pourrait ralentir le fonctionnement du proxy peu de temps après l'installation de la mise à jour.
- Divers:
- Correction de la commande d'installation pour afficher correctement plus de 6 contrôleurs réseau
- La base de données timezone a été mise à jour
- Autorise généralement les traits de soulignement dans les noms de domaine
- Paquets mis à jour: coreutils 8.25, curl 7.48.0, dnsmasq 2.76, findutils 4.6.0, grep 2.24, moins 481, ncurses 6.0, procps 3.2.8, sdparm 1.10, wpa_supplicant 2.5
- Modules mis à jour:
- 7zip 15.14.1
- clamav 0.99.2
- hostapd 2.5
- Midnight Commander 4.8.17
- nfs (remplacera portmap par rpcbind)
- tor 0.2.7.6
Quoi de neuf dans la version 2.19 Core 102 / 3.0 Alpha 1:
Nouveau dans IPFire 2.19 Core 101 (3 mai 2016)
Nouveautés dans la version 2.19 Core 100 / 3.0 Alpha 1:
- Cette mise à jour vous apportera IPFire 2.19 que nous lançons pour 64 bits sur Intel (x86_64) pour la première fois. Cette version a été retardée par les diverses vulnérabilités de sécurité dans openssl et glibc, mais elle contient de nombreuses améliorations sous le capot et diverses corrections de bugs.
- 64 bits:
- Il n'y aura pas de chemin de mise à jour automatique depuis une installation 32 bits vers une installation 64 bits. Il est nécessaire de réinstaller manuellement le système pour ceux qui veulent changer, mais une sauvegarde générée précédemment peut être restaurée de sorte que l'ensemble de la procédure prend généralement moins d'une demi-heure.
- Il n'y a pas trop d'avantages par rapport à une version 64 bits, à l'exception de quelques augmentations de performances mineures pour certains cas d'utilisation et, bien sûr, de la possibilité d'utiliser plus de mémoire. IPFire est capable d'adresser jusqu'à 64 Go de RAM sur 32 bits, il n'y a donc pas besoin de migrer. Nous vous recommandons d'utiliser des images 64 bits pour les nouvelles installations et de rester avec les installations existantes telles quelles.
- Mise à jour du noyau:
- Comme toutes les versions majeures, celle-ci est livrée avec un noyau Linux mis à jour pour corriger les bogues et améliorer la compatibilité matérielle. Linux 3.14.65 avec de nombreux pilotes rétroportés à partir de Linux 4.2 est également renforcé contre les attaques communes comme les débordements de buffer de pile.
- Beaucoup de blobs de firmware pour les cartes sans fil et d'autres composants ont été mis à jour tout comme la base de données matérielle.
- Problèmes de performances Hyper-V:
- Un backport d'une version récente du module de pilote réseau Microsoft Hyper-V permettra de transférer à nouveau des données à des vitesses plus élevées. Les versions précédentes n'avaient qu'un très faible débit sur certaines versions d'Hyper-V.
- Mises à jour du pare-feu:
- Il est maintenant possible d'activer ou de désactiver certains modules de suivi de connexion. Ces modules ALG (Application Layer Gateway) aident certains protocoles tels que SIP ou FTP à fonctionner avec NAT. Certains téléphones VoIP ou PBX ont des problèmes avec ceux-ci, de sorte qu'ils peuvent maintenant être désactivés. Certains en ont besoin.
- Le pare-feu a également été optimisé pour permettre plus de débit en utilisant légèrement moins de ressources système.
- Divers:
- De nombreux programmes et outils de la chaîne d'outils utilisée ont été mis à jour. Une nouvelle version des collections de compilateurs GNU offre un code plus efficace, un durcissement plus fort et une compatibilité pour C ++ 11
- GCC 4.9.3, binutils 2.24, bison 3.0.4, grep 2.22, m4 1.4.17, sed 4.2.2, xz 5.2.2
- Dnsmasq, le proxy DNS IPFire interne a été mis à jour et de nombreux problèmes d'instabilité ont été corrigés
- openvpn a été mis à jour vers la version 2.3.7 et les fichiers de configuration générés ont été mis à jour pour être compatibles avec les prochaines versions d'OpenVPN
- IPFire attendra maintenant avec le démarrage lorsque le temps doit être synchronisé et DHCP est utilisé jusqu'à ce que la connexion soit établie, puis continuez le démarrage
- bind a été mis à jour vers la version 9.10.3-P2
- ntp a été mis à jour vers la version 4.2.8p5
- tzdata, la base de données pour les définitions de fuseau horaire, a été mise à jour vers la version 2016b
- Divers correctifs cosmétiques ont été effectués sur l'interface utilisateur Web
- Un bogue provoquant la création des périphériques VLAN lors de la création de la carte réseau parent a été corrigé
- Client DHCP: la réinitialisation de la MTU sur les cartes réseau rompues qui perdent le lien a été corrigée
- Un disque virtuel pour stocker les bases de données des graphiques affichés dans l'interface utilisateur Web est à nouveau utilisé par défaut sur les installations qui utilisent l'image flash lorsque plus de 400 Mo de mémoire sont disponibles
- Un bug indiquant que la qualité de service n'a pas pu être arrêtée a été corrigé
- Un ancien code a été restauré et du code inutilisé a été supprimé dans certains composants IPFire internes
- Modules complémentaires:
- owncloud a été mis à jour à la version 7.0.11
- nano a été mis à jour vers la version 2.5.1
- rsync a été mis à jour vers la version 3.1.2
Nouveautés dans la version 2.17 Core 98 / 3.0 Alpha 1:
- En raison d'une vulnérabilité de sécurité récemment découverte dans la glibc, nous publions cette mise à jour de base contenant un correctif pour CVE-2015-7547.
- L'interface getaddrinfo () est glibc, la bibliothèque C principale du système, utilisée pour résoudre les noms en adresses IP en utilisant DNS. Un attaquant peut exploiter le processus dans le système en effectuant cette requête en envoyant une réponse forgée trop longue entraînant un débordement de la pile. Le code peut potentiellement être injecté et exécuté.
- IPFire n'est cependant pas directement exploitable par cette vulnérabilité car il utilise un proxy DNS, qui rejette les réponses DNS trop longues. Ainsi, IPFire lui-même et tous les systèmes sur le réseau qui utilisent IPFire comme proxy DNS sont protégés par le proxy DNS. Cependant, nous avons décidé d'envoyer un correctif pour cette vulnérabilité aussi rapidement que possible.
Quoi de neuf dans la version 2.17 Core 94 / 3.0 Alpha 1:
- OpenSSH:
- OpenSSH a été mis à jour vers la version 7.1p1. Avec cela nous avons ajouté le support pour les courbes elliptiques (ECDSA et ED25519) et enlevé le support pour DSA qui est considéré comme cassé. Les clés RSA trop petites sont également supprimées et régénérées. Ces modifications peuvent nécessiter d'importer à nouveau les clés du système IPFire sur votre ordinateur d'administration.
- Agent de messagerie interne
- Un agent de courrier interne a été ajouté. Il est utilisé par les services internes pour envoyer des rapports ou des alertes. Jusqu'à présent, seuls quelques services l'utilisent (comme l'additif de comptabilité calmar), mais nous prévoyons d'ajouter plus de choses dans le futur.
- Il s'agit d'un agent de messagerie très simple et léger qui peut être configuré sur l'interface utilisateur Web et nécessitera généralement un serveur de messagerie en amont.
- IPsec MOBIKE:
- Une nouvelle case à cocher dans la page des paramètres avancés d'une connexion IPsec a été ajoutée. Cela permet de forcer l'utilisation de MOBIKE, une technologie permettant à IPsec de mieux traverser le NAT. Parfois, derrière des routeurs défectueux, des connexions IPsec peuvent être établies, mais aucune donnée ne peut être transférée et la connexion se casse très rapidement (certains routeurs ont des difficultés à transmettre des paquets DPD). MOBIKE contourne cela en utilisant le port UDP 4500 pour les messages IKE.
- Divers:
- Les champs obligatoires sont maintenant marqués d'une étoile. Auparavant, c'était l'inverse, de sorte que les champs optionnels étaient marqués d'une étoile, ce qui n'est plus visible sur le web.
- Une mise à jour mensuelle forcée ddns est supprimée puisque ddns prend soin de garder tous les enregistrements à jour et de les rafraîchir après 30 jours si nécessaire.
- fireinfo: Certains plantages ont été corrigés avec des ID qui ne contiennent que 0xff
- Packages mis à jour:
- bind 9.10.2-P4, coreutils 8.24, dnsmasq a reçu les dernières modifications importées, fichier 5.24, glibc (correctifs de sécurité), hdparm 9.48, iproute2 4.2.0, libgcrypt 1.6.4, libgpg-error 1.20, pcre (corrige pour plus de dépassements de tampon), rrdtool 1.5.4, calmar 3.4.14
Quoi de neuf dans la version 2.17 Core 93 / 3.0 Alpha 1:
- Mise à jour du client DDNS:
- ddns, notre client de mise à jour DNS dynamique, a été mis à jour vers la version 008. Cette version est plus robuste contre les erreurs réseau sur le chemin et les erreurs de serveur chez le fournisseur. Les mises à jour seront ensuite réessayées fréquemment.
- Les fournisseurs joker.com et DNSmadeEasy sont maintenant supportés
- Un plantage lors de la mise à jour des enregistrements namecheap a été corrigé
- Divers:
- Pakfire a été corrigé et tire désormais correctement les dépendances supplémentaires des modules complémentaires lors de la mise à jour à partir d'une ancienne version.
- TRIM est désactivé sur certains SSD avec des bogues de firmware connus qui provoquent des pertes de données.
- squid-accounting: Correction de plusieurs fautes de frappe dans les traductions
- /etc/ipsec.user-post.conf est ajouté à la sauvegarde s'il existe
- Packages mis à jour:
- bind 9.10.2-P3, daq 2.0.6, dnsmasq 2.75, libevent 2.0.22-stable (déplacé vers le système principal à partir de l'add-on), libpcap 1.7.4, nettle 3.1.1, pcre (corrige CVE -2015-5073), calmar 3.4.14
- Modules complémentaires:
- cups 2.0.4, make 4.1, nano 2.4.2
Commentaires non trouvées