IPFire - Aktuelle Infos

[Kuno Sandholzer]

IPFire - Core Update 161
https://blog.ipfire.org/post/ipfire-2-27-core-update-161-released

   
• neuer Kernel
• Durchsatz des Intrusion Prevention System deutlich verbessert
• Fast Flux Detection im Web Proxy, was in unseren Installationen aber wahrscheinlich keine Auswirkung hat

Update möglichst bald durchführen, da auch einige Sicherheitsupdates eingespielt wurden.

Technische Hintergrundinfo zu Fast Flux Detection:
ein recht neues (experimentelles) Sicherheitsfeature, das Domains mit sehr kurzen DNS-Lebenszeiten erkennt. Solche DNS-Einträge werden von Malware verwendet, die über viele Rechner im Internet verteilt sind und daher die Domain innerhalb kurzer Zeit auf andere IPs zeigt. Malware-Entwickler verwenden das, um Sicherheitssoftware auszutricksen, die bei Angriffsszenarien IP-Adressbereiche automatisiert sperrt.Da bei unseren Installationen der Web Proxy normalerweise transparent geschaltet ist und dadurch bei https-Verbindungen eh nicht mehr funktioniert, hat diese Erweiterung bei unseren Standardinstallationen keine Auswirkung. Damit es Auswirkung hätte, müsstea) der Proxy nicht transparent sein, was bedeutet, dass er auf jeden Rechner bei jedem Browser eingerichtet sein müssteb) Fast Flux Detection aktiviert werdenDa Fast Flux Detection aber derzeit bei uns (meines Wissens) kein Problem darstellt, braucht's diese Einstellung vermutlich nicht.

[Kuno Sandholzer]

IPFire - Core Update 162
https://blog.ipfire.org/post/ipfire-2-27-core-update-162-released

   
• neue Kernelversion (Linux 5.15)
• letzte Version mit 32bit-Unterstützung
• diverse kleinere Updates

Spätestens ab dieser Version sollte IPFire nicht mehr in der 32bit-Version verwendet werden. Ein Umstieg auf die 64bit-Version ist dringend anzuraten:
https://www.ipfire.org/download/ipfire-2.27-core162

[Kuno Sandholzer]

IPFire - Core Update 163
https://blog.ipfire.org/post/ipfire-2-27-core-update-163-released

   
• Quality of Service wurde auf CAKE umgestellt - wird wohl die wenigsten Schulen betreffen
• Die Passwörter für Systemzugänge werden nochmal sicherer als verschlüsselter Hash gespeichert
• diverse kleinere Updates

Wer noch nicht von der 32-bit-Version auf die 64-bit-Version umgestiegen ist - nächste Woche sind Semesterferien, das bietet sich an. 
Mit einer Sicherung der aktuellen Einstellungen und einem vorbereiteten USB-Stick ist die Umstellung schnell erledigt.

[Kuno Sandholzer]

IPFire - Core Update 164
https://blog.ipfire.org/post/ipfire-2-27-core-update-164-released

   
• neuer Kernel auf der Basis von Linux 5.15
• Die Passwörter für Systemzugänge werden nochmal sicherer als verschlüsselter Hash gespeichert, jetzt mit YESCRYPT anstelle von SHA512
• Die kürzlich entdeckte Linux-Sicherheitslücke "Dirty Pipe" ist repariert - war aber in unserem IPFire-Umfeld aus meiner Sicht eigentlich keine Gefahr.
• Microcode-Fixes für Intel-x86-Prozessoren (INTEL-SA-00528, INTEL-SA-00532)
• diverse kleine Verbesserungen

Achtet darauf, dass eure Firewall stets auf dem aktuellen Stand ist. Wenn jedes Update zeitnah durchgeführt wird, ist es schnell erledigt.Sind mehr als zehn Updateschritte notwendig, so ist ein Update über die Konsole vorzuziehen. Wendet euch hiezu am besten an euren Regionalbetreuer.

[Martin Heinzle]

Servus,
Bei älteren Installationen z.B. IPFire 2.19 (i586) - Core Update 119 können die neuesten Updates ziemlich sicher nicht mehr installiert werden, weil eine bestimmte Partition (2 GB groß) einfach vollläuft und somit kein Speicherplatz mehr zur Verfügung steht.
Updates werden zwar brav angezeigt, aber dann einfach nicht mehr installiert.
Der Übeltäter ist die Partition /dev/sda3 auf / gemounted (1952M).
Beginnend mit der Version 140 wurde eine komplett neue Partitionierung implementiert.
Wer also nicht mehr updaten kann, muss eine neue Version installieren und dann das Backup zurückspielen. Eine andere Lösung gibt es leider nicht.

Schöne Grüße

Martin heinzle

[Martin Heinzle]

Servus,
Mit der Version 164 wurden auch die URF-Filter von Shalla Secure Services and MESD entfernt, weil diese Listen nicht mehr aktualisiert werden. Es gibt nur noch die Variante mit den Listen der Universität Toulouse.

Schöne Grüße
Martin Heinzle

[Martin Heinzle]

Servus,
Ab Version 164 gibt es ein neues Feature:
Alle gelisteten Seiten auf Spamhaus DROP werden geblockt.
Zu finden ist die Einstellung unter: Firewall - Firewall Optionen - Drop packets from an to hostile networks - ON


Schöne Grüße
Martin Heinzle

[Kuno Sandholzer]

Hallo Martin,

danke für den Hinweis auf die Firewalloptionen. Das ist wirklich ein cooles Feature, habe ich gleich mal aktiviert.

Herzliche Grüße
Kuno

[Kuno Sandholzer]

IPFire - Core Update 165
https://blog.ipfire.org/post/ipfire-2-27-core-update-165-released

   
• viele interne Verbesserungen in der Codebasis (neue aufgebaut auf Python 3.10.1, Systemlibraries aktualisiert, ...)
• Location Filter wurde auf das Linux-eigene ipset umgestellt und braucht weniger RAM
• verträgt schlecht konfigurierte Kabelmodems besser
• OpenSSL aktualisiert
• kleinere (kosmetische) Fehler in IPSec und OpenVPN ausgebessert
• diverse Paket-Updates

Dieses Update kann seine Zeit dauern, da grundlegende Codeteile ausgetauscht werden. Ich habe das Update auf mehreren Geräten durchgeführt, und auf allen dauerte das Update mehr als eine Minute. Seit Core 164 läuft eine Zeitmessung bei den Updates mit - bei den vorherigen Versionen ist es mir zumindest noch nicht aufgefallen. 
Werdet also nicht nervös, wenn dieses Update eine Weile dauert.
Das Update verlangt einen Neustart.

[Kuno Sandholzer]

Probleme mit dem Backup seit Core Update 164
Wie gerade bekanntgegeben wurde, funktioniert seit dem Core Update 164 die Backupfunktion nicht ordentlich. Es wird zwar ein Backup erstellt, dieses ist aber nicht vollständig. Das Problem soll mit dem nächsten Update wieder behoben sein.
Nähere Infos unter https://blog.ipfire.org/post/incomplete-backups-since-core-update-164

[Kuno Sandholzer]

IPFire - Core Update 166
https://blog.ipfire.org/post/ipfire-2-27-core-update-166-released

   
• das im vorherigen Posting beschriebene Backup-Problem wurde behoben
• kleines Sicherheitsupdates

Dieses Update verlangt keinen Neustart und ist relativ flott installiert.
Aufgrund des Backup-Problems sollte es möglichst bald installiert werden.

[Kuno Sandholzer]

IPFire - Core Update 167
https://blog.ipfire.org/post/ipfire-2-27-core-update-167-released

   
• GPG Key Rollover für das Updatemodul Pakfire
• nicht notwendige Bestandteile wurden entfernt, was etwas Platz spart
• Frühjahrsputz - Überbleibsel älterer Updates werden entfernt
• zahlreiche kleinere Verbesserungen beim Code

Das Update verlangt einen Neustart.

[Kuno Sandholzer]

IPFire - Core Update 168
https://blog.ipfire.org/post/ipfire-2-27-core-update-168-released

   
• Verbesserungen des Intrusion Prevention Systems
• Die neue Firmware von APU-Boards wird nun unterstützt (falls jemand ein Firmware-Update gemacht hat oder ein neues angeschafft hat)
• Verbesserungen in Bezug auf Spoofing Attacken
• OpenSSH erhielt ein Update
• Dateiberechtigungen wurden nachgebessert
• ... und natürlich die üblichen kleinen Updates und Verbesserungen

Das Update verlangt einen Neustart.

[Kuno Sandholzer]

IPFire - Core Update 169
https://blog.ipfire.org/post/ipfire-2-27-core-update-169-released

   
• OpenVPN unterstützt jetzt Zwei-Faktor-Authentifizierung - für jene, die VPN-Verbindungen über IPFire umsetzen, möglicherweise interessant
• neuer Linux-Kernel (5.15.49) mit den üblichen Verbesserungen und einigen Sicherheitsupdates
• Handling des Network Time Protocol wurde verbessert - vor allem, wenn die Pufferbatterie (bei einem älteren Gerät) schwach ist, sollte sich das positiv auswirken
• ... und natürlich die üblichen kleinen Updates und Verbesserungen

Das Update ist recht groß - nicht wundern, wenn der Updateprozess ungewöhnlich lange dauert!

Das Update verlangt einen Neustart.

[Kuno Sandholzer]

IPFire - Core Update 170
https://blog.ipfire.org/post/ipfire-2-27-core-update-170-released

   
• IP Address Blocklist - Aktivierung empfohlen!
• Erhöhung der Schlüsselsicherheit bei IPSec
• Update des Linux-Kernel auf Version 5.15.59
• diverse Updates

Das Update kann durchaus wieder zwei bis drei Minuten dauern! Einfach geduldig bleiben.

Das Update verlangt einen Neustart.