IPFire 2.15 – Core Update 79

IPFire erhält Update. Die deutsche Firewall hat heute ihr Update bekannt gegeben. Ich halt IPFire genau wie pfSense für eine sehr gute Gateway-Lösung für kleine und mittlere Unternehmen.

ipfire_tux_512x512

Ich will euch die Release Notes natürlich nicht vorenthalten, diese fallen aber ein wenig umfangreicher aus:

IPFire 2.15 – Core Update 79 is finally arriving with many bug fixes and enhancements. Among the big changes with this update are lots feature enhancements that massively increase the security level of OpenVPN connections, some enhancements of the web user interface and a lot more awesome stuff under the hood.

OpenVPN

The OpenVPN capabilities have been massively extended by Erik Kapfer:

Certificate Authorities

The certificate authority that can be created on the OpenVPN page now uses much better hashes to protect the integrity of itself. The CA root certificate uses a SHA512 hash and a RSA key with length of 4096 bit. All new created host certificates use a RSA key with 2048 bit length and a SHA256 hash.

Additionally, a set of Diffie-Hellman parameters can be generated for better protection of the session keys. The length of the pregenerated DH parameters can be chosen in the web interface.

Ciphers

The cipher that is used for each net-to-net connection can be changed now to for example take benefit of hardware crypto processors. To the list of already supported ciphers came SEED.

ATTENTION: Some other ciphers that are evidently broken have been removed for use with the roadwarrior server. Those are: DES-CBC, RC2-CBC, RC2-64-CBCand RC2-40-CBC. If you are using one of these, please replace all your roadwarrior connections.

HMAC/Hashing

To ensure that the transmitted data has not been altered on the way from sender to receiver a hash function is used. This hash is now configurable with a couple of options: SHA2 (512, 384 and 256 bit), Whirpool (512 bit) and SHA1 (160 bit).

To mitigate DoS attacks against the OpenVPN server, the tls-auth option can be enabled which uses a HMAC function that lets the server very quickly decide if a packet is coming from a legitimate sender and needs to be decrypted (which is a very costly operation) or if it is just some spoofed data sent to slow down the server. In the latter case the HMAC does not match and the packet can be discarded right away.

All this may sound a bit complicated, but in the end the OpenVPN feature is usable just in the same and easy way as you know it in IPFire. Everything described here works under the hood and gives you better protection for your data.

Kernel Update

The Linux kernel running inside IPFire has been updated to version 3.10.44 which adds better support for some hardware, comes with lots of stability fixes and closes some security issues. The vendor drivers for Intel network adapters have been updated, too.

One of the most significant changes is that the system now uses the PCIe ASPM configuration from the BIOS. The former option was to save as much power as possible which may lead to instabilities with some PCIe periphery. It is now possible to easily configure the desired operation mode in the BIOS of the system.

Various changes have been applied to the Xen image so installing IPFire on para-virtualized systems runs much more smoothly now.

PPP dial-in

pppd, the Point-to-Point-Protocol Daemon, has been updated to version 2.4.6 which comes with some stability and security fixes. For PPPoE sessions, the system will try to connect to the Internet for a longer time now before giving up. This helps us to establish a connection even if there is some really weird modems around that need some time to initialize when the network link goes up (seen with radio link antennas).

LTE/3G Modem Status

The IPFire web interface got a new status page for modems. This includes all serial modems from 56k analogue modems up to LTE and 3G modems. On this page there will be various information about the connected network, signal quality and SIM card if one is available.

Squid Web Proxy Update

The Squid web proxy server has been updated to version 3.4.5. As this is a major version update, several deprecated things and incompatibilities had to be resolved. The redirect wrapper process has been rewritten and all the redirect helpers (URL-Filter, Update Accelerator and squidclamav) have been patched to be able to communicate with the proxy process again.

When using proxy.pac for automatic client configuration, please note that access to the web proxy is now only granted for the actual subnets of the firewall and not for the entire private RFC1918 address space any more. In addition to that, accessing resources of the same subdomain as the clients (i.e. internet network access) circumvents the proxy as well.

Support for the internal Quality of Service has been compiled in.

Intrusion Detection System

snort, the Intrusion Detection System, has been updated to version 2.9.6.1. Downloading of rules will be possible for some time now.

Misc

  • Alf Høgemark contributed an updated version of vnstat which is a tool to measure the consumed traffic on each network interface and generates beautiful graphs out of it.
  • He also contributed a new log page on the IPFire web interface that shows from which country the most firewall hits originate from.
  • The new firewall GUI now supports blocking access to the GREEN firewall interface from the GREEN network.
  • The PIE packet scheduler has been added for experienced users to experiment.
  • Lots of cleanup of the generated HTML output of the CGI web interface scripts has been done.
  • The Turkish translating has been updated by Ersan Yildirim.
  • The net-utils which provided the basic tools like ping has been removed and now only the version of ping that comes with the iputils package is used. The hostname command has been replaced by a version that is maintained by Debian.
  • Updated packages: daq 2.0.2, libpcap 1.4.0, openvpn 2.3.4, sudo 1.8.10p3
  • The build system is now able to use qemu and compile for ARM on x86 machines.
  • Enabling the front LEDs on an ALIX system has been fixed when a RED device has been assigned but the system actually uses a dial-in connection.

Installer

  • Installation on systems that only got a serial console is now possible from the ISO image. The baudrate has been set to 115200 throughout the entire process which has formerly been broken and it was needed to change the baudrate a couple of times.
  • The default size of the root partition has been increased.
  • The backup ISO that can be generated on the backup page of the IPFire web interface is now a hybrid image as well so that it can be put on an USB key instead of burning it on a disk.

Dynamic DNS providers

Some new dynamic DNS providers have been added: spdns.de (Bernhard Bitsch), twodns.de, variomedia.de (Stefan Ernst)

Add-ons

New Arrivals

  • icinga 1.11.4 (The nagios package may be dropped in the near future)
  • sslscan 1.10.2 – A simple tool to scan which SSL features and ciphers a remote host supports

Updates

  • cacti 0.8.8b
  • clamav 0.98.4
  • nut 2.7.2 (Dirk Wagner)
  • samba 3.6.24
  • transmission 2.83

Dropped add-ons

  • icecc

Den offiziellen Post findet ihr hier: http://www.ipfire.org/news/ipfire-2-15-core-update-79-released

Ich werde mal versuchen in den kommenden Tagen einen Vergleich der beiden Gateway-Lösungen zu machen. Bin mal gespannt wer da die Nase vorn hat.

Sparky Linux 3.4 Game Over

Sparky Linux 3.4 Codename „Game Over“ ist erschienen. Die auf Debian basierende Gaming Distribution setzt auf einen LXDE Desktop und kann stark duch Geschwindigkeit punkten.

sparky-33-lxde

Hier einmal die Release Notes:

SparkyLinux 3.4 “GameOver” is out.

It has been built on the top of SparkyLinux 3.4 “Annagerman” and it’s fully compatible with Debian “testing” Jessie.
“GameOver” is a special edition of Sparky targeted to game players.

“GameOver” 3.4 feautures :
– access to games compiled for Linux platform
– access to “popular” and “modern” games via Steam and Desura platforms
– access to many games created for MS Windows platform via Wine and PlayOnLinux
– access to “old” games created for discontinued machines and systems via emulators

What’s under the hood of GameOver 3.4:
– Linux kernel 3.14-1 (3.14.7-1)
– all packages upgraded from Debian testing repositories as of 2014/07/03
– LXDE 0.5.5-6, Openbox 3.5.2-6, PCManFM 1.2.0-1, Iceweasel 30.0-2 and a few important applications
– support for installation on machines with EFI
– systemd is the default init system now, see how to change sysvinit to systemd:
http://sparkylinux.org/sparky-systemd/
– the repository list has been split:
* the main one features Debian repository only inside the file /etc/apt/sources.list
* all additional repositories have been moved to the directory /etc/apt/sources.list.d/
– added new packages: hardinfo, mintstick
– steam & steam-launcher 1.0.0.48
– desura for linux
– wine & playonlinux
– set of old machines and systems emulators:
* DeSmuME – emulator for Nintendo DS games
* DOSBox – DOS system emulator
* MAME – arcade games emulator + GUI front-end GNOME Video Arcade
* NEStopia – Nintendo Entertainment System emulator
* PCSX-Reloaded – Sony PlayStation emulator
* Stella – Atari 2600 emulator
* Visual Boy Advance – Gameboy, Gameboy Advance and Gameboy Color emulator
* Yabause – Sega Saturn emulator
* ZSNES – emulator of the Super Nintendo Entertainment System
– set of games: 0ad, 3dchess, airstrike, alienblaster, amphetamine, antigravitaattori, armagetronad, asciijump, asylum, atomix, balder2d, barrage, berusky, billard-gl, biniax2, black-box, blobandconquer, blobby, bloaboats, blockout2, brainparty, btanks, bygfoot, chromium-bsu, einstein, extremetuxracer, five-or-more, flare, foobillardplus, four-in-a-row, freecraft, freedroid, frozen-bubble, funnyboat, gnome-chess, gnome-hearts, gnome-klotski, gnome-mahjongg, gnome-mastermind, gnome-mines, gnome-nibbles, gnome-robots, gome-sudoku, gnome-tetravex, gnubik, gnuchess, gnugo, gtkatlantic, gtkpool, gunroar, holdingnuts, iango, lbreakout2, lightsoff, liquidwar, ltris, maelstorm, megaglest, minetest, mokomaze, monopd, monsterz, moon-buggy, moon-lander, netmaze, netpanzer, neverball, neverputt, openarena, pacman, performous, pingus, quadrapassel, scorched3d, slimevolley, smc, snake4, snowballz, supertux, supertuxkart, swell-foop, tali, teeworlds, tennix, tetzle, tomatoes, transcend, warzone2100, wesnoth, widelands, xblast, xmoto, zaz

Man beachte die Fülle von Spielen die bei Sparky Linux 3.4 direkt mit an Bord sind. Das sind zwar keine AAA Titel wie „Call of Duty“ oder Konsorten, sollten aber die ein oder andere Stunde Zeitvertreib ermöglichen.

Link zu den Release Notes und dem Download: http://sparkylinux.org/sparkylinux-3-4-gameover/

Ubuntu Mate Test

Gestern habe ich noch über das neue Ubuntu Mate berichtet, heute probiere ich es schon aus. Irgendwie hat mich mein Kubuntu ein wenig genervt. KDE ist teilweise ein wenig zu langsam habe ich immer so das Gefühl …. Hier also der Ubuntu Mate Test auf einem Lenovo T440s.

desktop

Back to the roots! Kann man da nur sagen. Es sieht aus und fühlt sich an wie Ubuntu zu seinen besten Zeiten. Der Mate Desktop lässt auf den ersten Blick nichts vermissen, macht sogar richtig Spaß von Anfang an.

Zur Installation ist zu sagen das, wie von Ubuntu gewohnt, sich das System quasi von selbst installiert. Die Gewohnten Fragen nach Partition, User und Passwort beantworten und los gehts. Für diejenigen unter euch, welche eine dedizierte Grafikeinheit verwenden: Der Treiber wird bei der Installation mitinstalliert und ist nach dem Systemstart aktiviert.

Software & Aktualisierungen

Lediglich den NVDIA Settings Manager vermisse ich. Der wurde scheinbar nicht installiert, lässt sich aber über:

sudo apt-get install nvidia-settings

nachinstallieren. Zusätzlich sollte man in diesem Fall noch das Paket nvidia-prime installieren, da sonst der Button zum Umschalten der Grafikkarte unter den Settings fehlt:

sudo apt-get install nvidia-prime

Das ist komisch, da sowohl die Settings als auch PRIME unter 14.04 automatisch installiert werden, wenn man den NVIDIA Treiber wählt. Lediglich unter 13.10 wurde dies nicht automatisch ausgeführt.

NVIDIA X Server Settings

Dies kann man natürlich auch über den Ubuntu Software-Center tun, welcher natürlich in der Distribution integriert ist.

Ubuntu Software-Center

Leider fehlen auch die Netzwerkeinstellungen in der Anwendungsleiste bzw. werden keine weiteren Symbole der Leiste zugeordnet. Bug oder Einstellung? Eindeutig Bug, die Benachrichtigungsleiste wird nicht richtig dargestellt.

network

Man sollte vielleicht noch erwähnen, dass es sich bei der Version um eine Alpha handelt wie man auf der offiziellen Seite auch beim Download sieht: http://ubuntu-mate.org/download/

Der erste Eindruck mit dem frischen Ubuntu Mate ist auf jeden Fall sehr positiv. Ich teste mal weiter und ergänze den Beitrag sollten sich Probleme mit dem System zeigen.

EDIT

KO Kriterium Teamviewer. Lässt sich nicht starten. Bekomme immer einen Systemfehler. Nun gut ohne Teamviewer kann ich nicht leben. Alpha ist dann wohl doch noch zu früh …..

Bildschirmfoto-sebastian@T440s: ~-Downloads

CentOS 7

Gerade lese ich, dass die Verteilung der Torrents für CentOS 7 begonnen hat. Das heißt das offizielle Release zu CentOS 7 ist da!

centos-org-new-website

Ihr findet den Post unter folgendem Link: http://seven.centos.org/?p=206

Folgende Images stehen zur Auswahl:

http://mirror.centos.org/centos/7/isos/x86_64/CentOS-7.0-1406-x86_64-DVD.torrent

http://mirror.centos.org/centos/7/isos/x86_64/CentOS-7.0-1406-x86_64-GnomeLive.torrent

http://mirror.centos.org/centos/7/isos/x86_64/CentOS-7.0-1406-x86_64-KdeLive.torrent

http://mirror.centos.org/centos/7/isos/x86_64/CentOS-7.0-1406-x86_64-livecd.torrent

http://mirror.centos.org/centos/7/isos/x86_64/CentOS-7.0-1406-x86_64-NetInstall.torrent

http://mirror.centos.org/centos/7/isos/x86_64/CentOS-7.0-1406-x86_64-Everything.torrent

Um Hilfe bei der Verteilung wird gebeten.

Zentyal Server 3.5

Wer auf der Suche nach einem neuen Serversystem ist, sollte mal einen Blick auf Zentyal Server 3.5 werfen. Die Distribution hat es sich zur Aufgabe gemacht ein komplettes Server Webinterface zu entwickeln.

zentyal_dashboard

Die Übersicht macht einen sehr aufgeräumten und leicht bedienbaren Eindruck.

Als Grundlage dient hier ein Ubuntu 14.04 LTS. Ziel ist es ein Pendant zu Microsofts Small Business Server zu schaffen, welches in der Community Edition dazu noch umsonst ist.

Hier mal ein kleiner Auszug aus den Release Notes:

Among all the changes Zentyal 3.5 introduces, we would like to put the focus on:

  • New base distribution: Ubuntu 14.04 LTS (Trusty)
  • Removal of synchronization with OpenLDAP
  • Support for Microsoft Outlook 2010 and inbox refresh improved
  • Removal of some modules (L7 Filter, FTP, Zarafa, User Corner, Captive Portal and Bandwidth Monitor) to focus in the rest

Den ganzen Beitrag findet ihr hier: https://wiki.zentyal.org/wiki/Zentyal_3.5_Announcement

Ich werde mir die Distribution mal anschauen, da ich im Moment mit ClearOS nicht wirklich zufrieden bin was die Verwaltbarkeit angeht. Sollte sich das System bewähren, könnte mich das ein Schritt näher zu Ubuntu und weg von CentOS bringen. Aber warten wirs mal ab ….

Ubuntu Mate

Ubuntu Mate ist erschienen. Ja ich meine NICHT Linux Mint. Ubuntu Mate. Da hat wohl wer mitbekommen wie erfolgreich Linux Mint ist und möchte jetzt ein Stück vom Kuchen haben. Anders kann ich es mir nicht erklären. Hier mal ein paar Auszüge was die junge Distribution besser machen möchte bzw. was für Ziele sie sich gesetzt hat:

  • Verwenden Sie Ubuntuum eine solide Grundlage für den Aufbau von eines reinen MATEDesktops zu erstellen.
  • Die Ubuntu und Mate Benutzerakzeptanz erhöhen
  • Wiederherstellen der „besseren Tage“ vor der Einführung von Unity und co.
  • Eine Alternative anbieten für Rechner, die nicht über genügend Leistung verfügen einen Composite Desktop zu verwenden
  • Durch vorhandene Ubuntu Themes und Templates den Einstieg in „Mate Remix“ für neue User so einfach wie möglich zu gestalten
  • Die Entwicklung von Ubuntu und Debian voran treiben
  • Eine funktionalere und stabilere Paketauswahl anbieten
  • Eine Anlaufstelle für Linux User, die einen traditionellen Desktop bevorzugen, bieten
  • Als offizieller „Ubuntu Flavour“ gelistet werden

Wenn man sich die Screenshots von Ubuntu Mate anschaut wird einem jedoch schnell klar, was mit den obigen Zielen versucht wird. Man möchte die klassischen Gnome User wieder einfangen. Was theoretisch auch ganz gut funktionieren könnte, da ich selber im Moment auch nicht wirklich zufrieden mit der Mint Oberfläche, bzw was Mint aus Mate gemacht hat, bin.

01_Ubuntu_MATE_Remix 02_About 03_Caja 04_Connect_to_server

Man darf also durchaus gespannt sein, wie sich das Projekt entwickelt. Ich werde es auf jeden Fall mal im Auge behalten.

Hier findet ihr die Seite der Distribution: http://ubuntu-mate.org/

CentOS 7 RC

Freu! Da ist er also der CentOS 7 RC. CentOS ist immer noch mein persönliches Serversystem des Vertrauens und wird wohl auch so schnell nicht abgelöst werden. Das liegt zum einen an dem guten Support und zum anderen bekommt man hier ein RedHat umsonst. Ich kann das System nur jedem ans Herz legen, der vor hat einen Server zu konfigurieren und da gehören alle Klassen dazu, Sysadmins wie Neueinsteiger.

Die Images findet ihr unter folgendem Link: http://buildlogs.centos.org/centos/7/os/x86_64-20140704-1/

Der Beitrag zur Veröffentlichung ist unter diesem Link zu finden: http://lists.centos.org/pipermail/centos-devel/2014-July/011288.html

Release Notes hab ich bis derweil leider noch nicht gesehen. Ich denke mal die kommen dann mit dem offiziellen Release von CentOS 7.

Minuum Keyboard Moto 360

Das nenne ich mal ein innovatives Designkonzept, was sich Minuum Keyboard da mit der Moto 360 hat einfallen lassen. Wenn das wirklich so auf den Markt kommt kauf ich mir die Moto 360. Bisher hatten es mir die Smartwatches und das ganze Android Wear Zeug nicht so angetan, bis jetzt.

MOTO360

Werft mal einen Blick auf die offizielle Seite und hinterlasst @minuum einen Twitter Post was ihr davon haltet: http://minuum.com/hello-moto-360-typing-on-a-circle/