IPFire 是一個關注於安全的 Linux 發行版,典型應用場景是防火牆。其採用基於 netfilter 的有狀態數據包分析,並配有直觀的 Web管理界面。

該項目於日前發布了 IPFire 2.21 版暨核心更新(Core Upadte)122 版,升級了 Linux 內核,帶來了一些改進和問題修復。

亮點變化

IPFire 2.21 從舊的長期支持內核切換到了 4.14.50 版的 Linux 內核。

最重要的是,這個內核提高了系統的安全性及性能,使其核心更新且更現代。此更新還可以在某些體系結構上實現對 Meltdown 和 Spectre 的緩解。在基於 Intel 的平台上,在系統啟動時更新 CPU 的微碼,以避免由緩解技術造成的任何性能損失。

不幸的是,grsecurity 與任何較新的內核都不兼容,並且已被刪除。這與 grsecurity 項目決定不再開源補丁有關。幸運的是,內核開發人員已經移植(backport)了許多功能,因此這個內核仍然經過強化且是安全的。

由於內核變更,ARM 系統將無法安裝此更新,這也需要在某些 bootloader 上進行更改。對於這些用戶,建議備份系統,重新安裝然後恢復備份。對於我們以前使用的不同平台,這一重新安裝的系統將只有一個 ARM 內核而不是此前的多個 ARM 內核。它有助於保持發行版較小並使開發工作更容易。

瑣碎更新

  • 軟體包更新: apache 2.4, beep 1.3 with fixes for CVE-2018-0492, bwm-ng 0.6.1-f54b3fa, cmake 3.11.2, crda 3.18, ISC dhcp 4.4.1, dhcpcd 6.11.5, diffutils 3.1.6, gcc 7.3.0, grub 2.02, htop 2.2.0, iw 4.14, libidn 1.34, nano 2.9.7, nmap 7.70, openssh 7.7p1, pcre 8.42, powertop 2.9, rng-tools 6.2, sarg 2.3.11, tar 1.30, u-boot 2018.03, unbound 1.7.1, wget 1.19.5, xtables-addons 2.13, xz 5.2.4
  • 受信任的 Certificate Authorities 已被更新,移除了一些舊的 CA。
  • 為一些驅動和主板更新了固件。
  • Web 用戶界面現在顯示所有登錄控制台的用戶。

得益於更高校的壓縮,鏡像文件更小

其團隊為更快地下載發行版並使其在伺服器上佔用更少的空間做出了努力。作為第一步,快閃記憶體鏡像已合併在一起,只有一個鏡像在具有串列控制台和普通視頻輸出的系統上啟動。 其次,現在使用 XZ 演算法壓縮所有圖像,以便更快地下載,甚至更快地解壓縮。

新的分區布局

此版本還更改了分區布局,刪除了用於日誌文件和系統收集的數據的 /var 分區。 此數據現在與 OS 一起位於一個分區上。在默認分區布局中,/boot 分區的大小已增加到128MB。

其它組件

更新的包

  • clamav 0.100.0
  • nagios-nrpe 3.2.1

 

有關此版本的更多信息載於其發布通告

作為一個防火牆, IPFire 採用 Stateful Packet Inspection(有狀態的數據包分析),這一機制基於 netfilter 。IPFire 的特色在於安裝簡單及高度的安全性。其基於 Web 的管理界面操作直觀且提供許多配置選項。 IPFire 開發團隊關心安全問題並定期更新產品。IPFire 附帶一個名為 Pakfire 的定製軟體包管理器,系統可以通過各種附件進行擴展。

IPFire 的設計既考慮到模塊化,又考慮到高度的靈活性。 其可以輕鬆被部署作為防火牆、代理伺服器或 VPN 網關等設施。 模塊化設計確保它不會包含多餘的功能,嚴格按配置運行。通過包管理器進行管理和更新使維護變得輕而易舉。

IPFire 開發團隊意識到:安全對不同的人意味著不同的事情,並且隨著時間的推移肯定會發生變化。IPFire 具有模塊化和靈活性這一事實使其非常適合集成到任何現有的安全架構中。儘管這聽起來有些複雜,但 IPFire 提供了出色的默認設置,初級用戶無需了解過多即可快速運行。

IPFire 默認配有 OpenVPN、IPSec、Web Proxy(Web 代理)、Content Filter(內容過濾器)、Intrusion Dection System(入侵檢測系統)、Update Accecelartor(更新加速器,能夠緩存操作系統的更新文件以備後用,例如 Windows Sevice Packs)、SquidClamAV(針對 Web proxy 的實時病毒掃描器)、Virtualization(虛擬化)及 Quality of Service (為數據包分類,並將對根據其對實時性要求進行優先順序調整)等諸多特性。

封面圖片轉載自 IPFire.org;文內的部分文字轉錄或衍生自 IPFire.orgDistroWatch.org 的對應頁面