IPFire, бесплатный защищенный межсетевой экран с открытым исходным кодом на базе Linux, предназначенный для развертывания в качестве специализированного брандмауэра/маршрутизатора для защиты сетевых сред, выпустил обновление IPFire 2.29 – Core Update 197.
Главной изюминкой этого выпуска является полная модернизация openvpn, который теперь обновлен до версии 2.6. Ключевые улучшения включают:
- Упрощенная конфигурация клиента: Экспортируемые конфигурации теперь поставляются в виде одного файла со встроенными ключами и сертификатами, что позволяет отказаться от старого формата ZIP.
- Согласование шифрования: OpenVPN теперь согласовывает поддерживаемые шифры между клиентом и сервером, уходя от статических настроек. SHA512 становится методом хэширования по умолчанию, если не используется AEAD.
- Удалено сжатие: В соответствии с изменениями в предыдущих версиях, OpenVPN больше не поддерживает сжатие из-за рисков безопасности.
- Отменена топология подсетей: Каждый клиент теперь использует один IP-адрес, что значительно повышает эффективность использования пула адресов.
- Изменения во времени выполнения: Настройки VPN теперь можно изменять, не останавливая работу сервиса Road Warrior, при этом клиенты автоматически переподключаются при необходимости.
Еще одно значительное изменение – введение масштабирования частоты процессора по умолчанию. В предыдущих версиях все ядра работали на максимальной частоте, чтобы минимизировать задержки. Однако теперь IPFire использует Intel P-State или регулятор schedutil для снижения энергопотребления и нагрева системы, а старый пакет cpufrequtil удален.
Что касается безопасности, то дистрибутив был переведен на ядро Linux 6.12.41, которое содержит средства защиты от атак на переходные планировщики. Обновление также устраняет состояние гонки, из-за которого некоторые сетевые интерфейсы иногда не инициализировались при загрузке.
IPFire Core Update 197 обновляет широкий спектр системных компонентов, включая Apache 2.4.65, bash 5.3.3, OpenSSL 3.5.1, Suricata 7.0.11, SQLite 3.50.2, Btrfs-progs 6.15 и другие. Кроме того, добавлен новый китайский перевод, расширяющий языковое покрытие дистрибутива.
Также включены обновления дополнений. Появились инструменты для эмуляции устройства TPM 2.0, поддерживающие среды, требующие виртуальных машин Windows 11.
Новый пакет, arpwatch, обеспечивает оповещения об обнаружении хостов в локальных сетях. Дополнение Zabbix обновлено до версии 7.0.16 LTS с новыми функциями для мониторинга wireguard, ARP ping и IPFire Location. Другие дополнения, такие как git, Samba и HAProxy, также получили обновления версий.
Наконец, дополнительные усовершенствования включают улучшенную обработку импорта конфигурации WireGuard, поддержку восстановления резервных копий размером более 2 Гб через веб-интерфейс, а также удаление списков отпечатков пальцев SSL с сайта abuse.ch, который был снят с производства.
Дополнительную информацию можно найти в анонсе.
Обновление Core Update 197 уже доступно для загрузки на сайте IPFires. Два варианта сборки охватывают наиболее распространенные аппаратные средства: x86_64 и aarch64 для тех, кому нужна свежая установка. Существующие системы могут быть обновлены через веб-интерфейс IPFires или командой µµ0µµ.