IPFire 是一个关注于安全的 Linux 发行版,典型应用场景是防火墙。其采用基于 netfilter 的有状态数据包分析,并配有直观的 Web管理界面。

该项目于日前发布了 IPFire 2.21 版暨核心更新(Core Upadte)122 版,升级了 Linux 内核,带来了一些改进和问题修复。

亮点变化

IPFire 2.21 从旧的长期支持内核切换到了 4.14.50 版的 Linux 内核。

最重要的是,这个内核提高了系统的安全性及性能,使其核心更新且更现代。此更新还可以在某些体系结构上实现对 Meltdown 和 Spectre 的缓解。在基于 Intel 的平台上,在系统启动时更新 CPU 的微码,以避免由缓解技术造成的任何性能损失。

不幸的是,grsecurity 与任何较新的内核都不兼容,并且已被删除。这与 grsecurity 项目决定不再开源补丁有关。幸运的是,内核开发人员已经移植(backport)了许多功能,因此这个内核仍然经过强化且是安全的。

由于内核变更,ARM 系统将无法安装此更新,这也需要在某些 bootloader 上进行更改。对于这些用户,建议备份系统,重新安装然后恢复备份。对于我们以前使用的不同平台,这一重新安装的系统将只有一个 ARM 内核而不是此前的多个 ARM 内核。它有助于保持发行版较小并使开发工作更容易。

琐碎更新

  • 软件包更新: apache 2.4, beep 1.3 with fixes for CVE-2018-0492, bwm-ng 0.6.1-f54b3fa, cmake 3.11.2, crda 3.18, ISC dhcp 4.4.1, dhcpcd 6.11.5, diffutils 3.1.6, gcc 7.3.0, grub 2.02, htop 2.2.0, iw 4.14, libidn 1.34, nano 2.9.7, nmap 7.70, openssh 7.7p1, pcre 8.42, powertop 2.9, rng-tools 6.2, sarg 2.3.11, tar 1.30, u-boot 2018.03, unbound 1.7.1, wget 1.19.5, xtables-addons 2.13, xz 5.2.4
  • 受信任的 Certificate Authorities 已被更新,移除了一些旧的 CA。
  • 为一些驱动和主板更新了固件。
  • Web 用户界面现在显示所有登录控制台的用户。

得益于更高校的压缩,镜像文件更小

其团队为更快地下载发行版并使其在服务器上占用更少的空间做出了努力。作为第一步,闪存镜像已合并在一起,只有一个镜像在具有串行控制台和普通视频输出的系统上启动。 其次,现在使用 XZ 算法压缩所有图像,以便更快地下载,甚至更快地解压缩。

新的分区布局

此版本还更改了分区布局,删除了用于日志文件和系统收集的数据的 /var 分区。 此数据现在与 OS 一起位于一个分区上。在默认分区布局中,/boot 分区的大小已增加到128MB。

其它组件

更新的包

  • clamav 0.100.0
  • nagios-nrpe 3.2.1

 

有关此版本的更多信息载于其发布通告

作为一个防火墙, IPFire 采用 Stateful Packet Inspection(有状态的数据包分析),这一机制基于 netfilter 。IPFire 的特色在于安装简单及高度的安全性。其基于 Web 的管理界面操作直观且提供许多配置选项。 IPFire 开发团队关心安全问题并定期更新产品。IPFire 附带一个名为 Pakfire 的定制软件包管理器,系统可以通过各种附件进行扩展。

IPFire 的设计既考虑到模块化,又考虑到高度的灵活性。 其可以轻松被部署作为防火墙、代理服务器或 VPN 网关等设施。 模块化设计确保它不会包含多余的功能,严格按配置运行。通过包管理器进行管理和更新使维护变得轻而易举。

IPFire 开发团队意识到:安全对不同的人意味着不同的事情,并且随着时间的推移肯定会发生变化。IPFire 具有模块化和灵活性这一事实使其非常适合集成到任何现有的安全架构中。尽管这听起来有些复杂,但 IPFire 提供了出色的默认设置,初级用户无需了解过多即可快速运行。

IPFire 默认配有 OpenVPN、IPSec、Web Proxy(Web 代理)、Content Filter(内容过滤器)、Intrusion Dection System(入侵检测系统)、Update Accecelartor(更新加速器,能够缓存操作系统的更新文件以备后用,例如 Windows Sevice Packs)、SquidClamAV(针对 Web proxy 的实时病毒扫描器)、Virtualization(虚拟化)及 Quality of Service (为数据包分类,并将对根据其对实时性要求进行优先级调整)等诸多特性。

封面图片转载自 IPFire.org;文内的部分文字转录或衍生自 IPFire.orgDistroWatch.org 的对应页面