Sortie de la 1.4.11

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Sortie de la 1.4.11

Messagepar Gesp » 24 Août 2006 08:08

IPCop v1.4.11 a été publié avec de petits changements dans ids.cgi et vpnmain.cgi par rapport à 1.4.11rc1.

La mise à jour se passera bien si vous n'avez pas d'add-on, dans le cas contraire, cela dépend des add-on. Certains nécessiteront une mise à jour à coup sur vu la mise à jour iptable de 1.2.11 vers 1.3.5.

Bugs de la 1.4.11 (je mettrais à jour si besoin ici)
Il y a un bug recensé si vous avez un vpn Host-to-Net dans restartsquid.

Les fichiers peuvent être chargés comme d'habitude depuisSourceforge

Comme d'habitude, cette version peut être installée comme une mise à jour ou depuis une installation complète à partir d'une iso.
Ce qui est nouveau est qu'IPCop peut maintenant être installé en bootant depuis une clé usb (ou d'un usb-zip) ou par un paquet pxe fourni depuis le réseau.

Pour installer la mise à jour, il est nécessaire que le noyau 2.4.31 soit utilisé.
Le noyau 2.4.29 est supprimé pendant la mise à jour pour faire de la place pour un nouveau noyau dans une prochaine mise à jour.
Il est nécessaire de rebooter après la mise à jour pour utiliser le noyau 2.4.31 patché.

md5sums
1d8a85c96bd5cc69a751c5291410b0c2 ipcop-fcdsl-1.4.11.i386.tgz
0655e93bd948bbe2086cfb30b675a78a ipcop-install-cd-1.4.11.i386.iso
a3a75d98b13e6d87a93429f512a79967 ipcop-install-pxe-1.4.11.i386.tgz
29b4a1afd0bd6680263e2c487b553036 ipcop-install-usb-fdd-1.4.11.i386.img.gz
c3214288c1988dd413d886fa34d38524 ipcop-install-usb-hdd-1.4.11.i386.img.gz
6cb619eae99b207c773dff677f43697e ipcop-install-usb-zip-1.4.11.i386.img.gz
4770ba892d5c3564c6905abda76af866 ipcop-sources-1.4.11.tgz
398881cd06240d49eb7da182fd304684 ipcop-packages-cd-1.4.11.i386.iso
1e414e0f27aace4218e5ca305bf2a3b8 ipcop-update-1.4.11.i386.tgz.gpg

Trois différentes images permettent de booter la machine depuis l'usb pendant l'installation, certains bios reconnaissant un format et pas un autre :
- fdd est une clé usb non partionnée comme une disquette
- hdd est comme un disque dur partionné
- zip est partionné comme un support zip (fonctionne aussi avec un vrai lecteur zip)

- pxe est un paquet prêt à l'emploi pour booter depuis le réseau (les instructions sont à l'intérieur)

- packages-cd est l'ensemble des paquets sources utilisés pour compiler la version pour i386 d'IPCop

Le paquet fcdsl n'a pas changé en 1.4.11 depuis 1.4.10

L'installation depuis une clé usb device est supporté, l'install vers une clé usb ne l'est pas encore.
makeflash est toujours le seul moyen supporté pour installer IPCop sur une mémoire flash connectée à une interface IDE.

Pour copier une image usb sur une clé (de taille mini 64 Mo), sous linux, lire sous quelle lettre la clé est reconnue par le système ( cat /proc/partitions | grep sd )
et copier vers cet équipement avec zcat (le fichier) >/dev/sd(lettre) sans numéro de partition. Ne pas oublier le '>' sinon le fichier sort sur la console.

Pour copier depuis Windows, il est possible de décompresser le fichier puis de le copier sur la clé avec winimage (shareware).

Si vous voulez pouvoir utiliser un backup .dat précédent lors d'une nouvelle installation, il faut utiliser ce .dat et la clé backup cryptée lors de la restauration des données. Si le backup disquette est utilisé, une nouvelle clé backup sera créé rendant les .dat précédent inutilisables à moins de restaurer la clé précédente à la main.
Le fichier backup.<hostname>.key est la clé cryptée, backup.key is la clé non cryptée existant seulement à l'intérieur d'IPCop.

Durant l'installation, le nom du fichier .dat utilisé pour la restauration doit être changé sous la forme
<hostname>.dat

Si vous avez seulement backup.key (donc non crypté) copié avant que 1.4.11 permette d'exporter la clé de manière sécurisée, vous pouvez crypter la clé avec openssl enc -a -e -aes256 -salt -pass 'pass:<mypassword>' -in
<yourpath>/backup.key -out <yourpath>backup.<hostname>.key

(je manque d'inspirations pour traduire tous les changements)

--------------------------------------------------------------------------------
Summary of the too long changes from 1.4.10 to 1.4.11

Web interface
backup.cgi
- new backup supporting usb key, unencrypted backup removed for security
reason
- export of backup.key
key is crypted wit a 'backup' password needed for reinstall,
hostname is include in the exported key file
- backup .dat
now include hostname and the timestamp of the backup
before to reinstall, remove timestamp to the file name you want to use to
restore
a comment field is available for each backup
the comment will be restored on backup upload (if available)
- floppy backup
display used sized,
check that backup is not too big
directly display errors if any (bad floppy)

ddns
- fix typo in local IP network address to fetch real public IP (sf1369617)
- fix GET string during fetch real public IP (sf1396470) and use proxy
settings
- add cjb.net, everydns.net providers and remove hn.org
- move freedns and regfish to https exchanges
- change URL for zoneedit

connections.cgi
- Fix icmp bug (sf1373594)
- add sorting & filtering of the table
- fix minor xhtml compliance issues

dhcp.cgi
- change duplicate dhcp fixed lease detection (Tapani suggestion)
- highlight duplicate MACs
- new option need to be created no space 'code nnn=xyz'
- allow more char in rootpath/filename options (sf1365534)

gui.cgi
- fix minor xhtml compliance issues

ids.cgi
- fix save that erase update signature date
- fix stop of ids in 1.4.11rc1

portfw.cgi
- fix destination range check (sf1226089)

password.cgi
- have an uniform policy in setup and web GUI
space, ' and " are not allowed
6 characters password is the minimal length in both interfaces

pppsetup.cgi
- fix minor xhtml compliance issues

proxy.cgi
- use the proxy port number set in web interface
- support squid extension_methods
- add an option to repair the cache
- fix 'flush cache' option

shutdown.cgi
- allow a programmed shutdown/reboot

update.cgi
- include version number in update log message

VPN
- fix minor xhtml compliance issues
- fix CRL dir and filename
- move randfile and cakey.pem out of /var/ipcop/ca to remove warnings (need
to include in upgrade)
- add leftid/rightid parameters to extend interoperability with other peers
- remove 'raw' debug option, not usable (too much data)
- add overridemtu option
- allow %defaultroute as local name for this side of VPN (sf1418529)
- correctly enable creation of Roadwarriors (sf1436828)
- add subjectAltName (rfe sf1365911)
- add a pkcs12 import while creating a connection
- allow use of DN,FQDN,IP for authentication (sf #1418533)
- compression+vhost can work together: disable check
- set compression off by default for better compatibilty
- Fix unneeded test preventing using more than once a cert (sf1171139)
- add aggressive mode option (rfe sf1359865)
- PFS advanced option was not cleared when saving params in basic GUI
- Integrate vpn-watch from Daniel Berlin (used for net-to-net only)
- Fix certificate export with IE and Opera, now the box to register to disk
really open
- Check the subjectaltname field and filter error output
With access on vpn configuration page controlled by admin password, it
was possible to include html code in this field
html code was executed because of error display without filtering of
subjectaltname.


Connection
- fix reconnection done even in manual and pure RED setting
- fix Ping disable option only working correctly with RED interface up (SF
1373822)
- restart squid during rc.updatered (should fix sf1077113)
- allow selection of only pap or only chap with fritzdsl to be effective

Various
- fix 'single' mode booting used for password recovery (sf1349440)
- fix kernel displaying inexistant partitions with unpartionned fat device
(integrated in 2.4.33)
- fix syslogd and klogd users and start now syslogd as syslogd uid

Building
- support build from precompiled toolchain package
- to work with very old or brand new distribution
- to spare build time
- package available when the building machine is a i586 or a i686
You can upload the corresponding prebuild toolchain with
./make.sh gettoolchain
If you want to build your own package, do
./make.sh clean && ./make.sh toolchain
- supply a collection of all needed packages sources used to build in an .iso
- split compilation log in differents stages log files
- strip from chrooted /tool/strip
- initrd is rebuild every time the installer is more recent
- during compilation, disable ipsec.secrets generation to workaround with a
kernel >2.6.11.x on the running machine for a potential empty entropy pool
problem
- at the end, move .iso and *.tgz from build/install to root dir instead of
coyping to save place on disk

Support Latin-2 for rrdtool
Upgraded packages
- dhcp-3.0.4,
- dnsmasq-2.33 and remove ipv6 support we don't use,
- gnupg-1.4.5 and trim unused features,
- hdparm-6.6 (mainly support ATA7 detection),
- iana-etc 2.10,
- iptables-1.3.5,(pool extension no more available,string extension is
reverted to code in v1.3.3)
- ipac-ng-1.31,
- libpng-1.2.12,
- squid-2.5.STABLE14 plus patch,
- openswan-1.0.10,
- vlan.1.9. (cosmetic)
Fix openssl compiled previously for 486 (sf bug #1363150)

Add Afrikaans,Gujarati,Japanese,Persian (Farsi),Slovak langages to web
interface and installer

Installation
- support installation from usb key
- support restoration from usb key and network (http/ftp)
- display version on first screen message
- no more need of scsi floppy to support scsi cdrom/disk when not booting
from floppy
- explain 'no echo for password' message
- use syslinux-3.11
- fill URL box with http:// as it may not easy to type : on unmapped
keyboard
- keep the URL in case the file is not found (easier to understand what was
previously wrong)
- Fix SiS965L chipset detection
- Fix mptscsih configuration during install

Merci de reporter tous problèmes dans le système de suivi de bugs de sourceforge relatif à IPCop ou sur la liste devel.

Gilles
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar gfazio » 07 Sep 2006 17:44

merci pour les infos ..
et concernant un backup en .tar.gz ?? y a-t-il qqch à faire de particulier?

merci
I Secure MySelf
8-)
gfazio
Quartier Maître
Quartier Maître
 
Messages: 17
Inscrit le: 16 Fév 2006 13:25

Messagepar Gesp » 08 Sep 2006 17:00

On ne supporte plus l'utilisation du backup non crypté.

Dans le cas ou quelqu'un arriverait se connecter sous le nom de l'utilisateur nobody à partir d'une ou plusieurs failles (théoriquement on ne peut pas, nobody n'a pas le droit de se loguer), il pouvait créer un backup contenant ce qu'il voulait et restaurer ce backup (avec par exemple un mot de passe 'root' modifié dans le tar.gz).

C'est pour cela que j'ai donné dans les instructions ce qui permettait partant d'un backup en clair à arriver à un backup crypté + clé crypté + mot de passe pour réinstaller la clé lors d'une nouvelle installation.
Comme l'installation de la clé ne se fait qu'à l'installation, on peut espèrer que cela sécurise encore plus solidement le système. Comme la clé est criptée, on peut la mettre sur un serveur pour installer par http/ftp même si ce n'est peut-être pas la méthode la plus sûre si quelqu'un avec du temps et de très gros ordinateurs pourrait trouver le mot de passe cryptant la clé, ouvrir le backup crypté et accéder aux données sensibles d'un IPCop (le fichier contenant le hash des mots de passe, les certificats,...)
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron