Прадстаўлены новы значны выпуск дыстрыбутыва OpenWrt 21.02.0, арыентаванага на ўжыванне ў розных сеткавых прыладах, такіх як маршрутызатары, камутатары і кропкі доступу. OpenWrt падтрымлівае мноства розных платформаў і архітэктур і валодае сістэмай зборкі, якая дазваляе проста і зручна вырабляць крос-кампіляцыю, уключаючы ў склад зборкі розныя кампаненты, што дазваляе лёгка сфармаваць адаптаваную пад пэўныя задачы гатовую прашыўку або выява дыска з жаданым наборам прадусталяваных пакетаў. Зборкі сфарміраваны для 36 мэтавых платформаў.
Са змен у OpenWrt 21.02.0 адзначаецца:
- Павышаны мінімальныя патрабаванні да абсталявання. У зборцы па змаўчанні з-за ўключэнні дадатковых падсістэм ядра Linux для выкарыстання OpenWrt зараз патрабуецца прылада з 8 MB Flash і 64 MB АЗП. Пры жаданні па-ранейшаму можна сфарміраваць уласную зрэзаную зборку, якая зможа працаваць на прыладах з 4 MB Flash і 32 MB АЗП, але функцыянальнасць падобнай зборкі будзе абмежавана, а стабільнасць працы не гарантаваная.
- У базавую пастаўку ўключаны пакеты для падтрымкі тэхналогіі абароны бесправадных сетак WPA3, якая зараз даступна па змаўчанні як пры працы ў рэжыме кліента, так і пры стварэнні кропкі доступу. У WPA3 падаецца абарона ад нападаў па падборы пароля (не дазволіць падбіраць пароль у offline-рэжыме) і задзейнічаны пратакол аўтэнтыфікацыі SAE. Магчымасць выкарыстання WPA3 забяспечана ў большасці драйвераў для бесправадных прылад.
- У базавай пастаўцы па змаўчанні ўключаная падтрымка TLS і HTTPS, якая дазваляе звяртацца да Web-інтэрфейсу LuCI па HTTPS і выкарыстоўваць утыліты, падобныя wget і opkg, для вымання інфармацыі па шыфраваных каналах сувязі. Серверы, праз якія распаўсюджваюцца загружаныя праз opkg пакеты, таксама па змаўчанні перакладзены на аддачу інфармацыі па HTTPS. Выкарыстоўваная для шыфравання бібліятэка mbedTLS заменена на wolfSSL (пры неабходнасці ўручную можна ўсталяваць бібліятэкі mbedTLS і OpenSSL, якія працягваюць пастаўляцца ў якасці опцый). Для налады аўтаматычнага пракіду на HTTPS у web-інтэрфейсе прапанавана опцыя "uhttpd.main.redirect_https=1".
- Рэалізаваная пачатковая падтрымка падсістэмы ядра DSA (Distributed Switch Architecture), якая прадстаўляе сродкі для налады і кіравання каскадамі злучаных паміж сабой Ethernet-камутатараў, выкарыстоўваючы механізмы, якія ўжываюцца для налады звычайных сеткавых інтэрфейсаў (iproute2, ifconfig). DSA можа прымяняцца для налады партоў і VLAN замест раней прапанаванай прылады swconfig, але не ўсе драйверы камутатараў пакуль падтрымліваюць DSA. У прапанаваным выпуску DSA задзейнічаны для драйвераў ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) і realtek.
- Унесены змены ў сінтаксіс файлаў канфігурацыі, размешчаных у /etc/config/network. У блоку "config interface" опцыя "ifname" пераназваная ў "device", а ў блоку "config device" опцыі "bridge" і "ifname" перайменаваны ў "ports". Для новых усталёвак зараз генеруюцца асобныя файлы з наладамі прылад (layer 2, блок "config device") і сеткавых інтэрфейсаў (layer 3, блок "config interface"). Для захавання зваротнай сумяшчальнасці падтрымка старога сінтаксісу захавана, г.зн. раней створаныя налады не запатрабуюць занясенні змен. Пры гэтым у web-інтэрфейсе пры выяўленні старога сінтаксісу будзе выведзена прапанова аб міграцыі на новы сінтаксіс, які неабходны для рэдагавання налад праз web-інтэрфейс.
Прыклад новага сінтаксісу: config device option name 'br-lan' option type 'bridge' option macaddr '00:01:02:XX:XX:XX' 'lan1' config interface 'lan' option device 'br-lan' option proto 'static' option ipaddr '2' option netmask '3' option ip4assign '192.168.1.1' config device option name 'eth' :255.255.255.0:6:YY:YY:YY' config interface 'wan' option device 'eth60' option proto 'dhcp' config interface 'wan1' option device 'eth00' option proto 'dhcpv01'
Па аналогіі з файламі канфігурацыі /etc/config/network c ifname на device зменены назовы палёў у board.json.
- Дададзена новая платформа "realtek", якая дазваляе выкарыстоўваць OpenWrt на прыладах з вялікім лікам Ethernet-партоў, такіх як Ethernet-камутатары D-Link, ZyXEL, ALLNET, INABA і NETGEAR.
- Дададзены новыя платформы bcm4908 і rockchip для прылад на базе SoC Broadcom BCM4908 і Rockchip RK33xx. У раней падтрымоўваных платформах ухіленыя недапрацоўкі ў падтрымцы прылад.
- Спыненая падтрымка платформы ar71xx, замест якой варта выкарыстоўваць платформу ath79 (для прылад, завязаных на ar71xx, рэкамендуецца выканаць пераўсталёўку OpenWrt з нуля). Таксама спынена падтрымка платформаў cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) і samsung (SamsungTQ210).
- Выконваныя файлы прыкладанняў, задзейнічаных пры апрацоўцы сеткавых злучэнняў, сабраны ў рэжыме PIE (Position-Independent Executables) з поўнай падтрымкай рандомизации адраснай прасторы (ASLR) для цяжкасці эксплуатацыі ўразлівасцяў у падобных прыкладаннях.
- Пры зборцы ядра Linux па змаўчанні ўключаны опцыі для падтрымкі тэхналогій кантэйнернай ізаляцыі, якія дазваляюць на большасці платформаў выкарыстоўваць у OpenWrt інструментар LXC і рэжым procd-ujail.
- Прадастаўлена магчымасць зборкі з падтрымкай сістэмы прымусовага кантролю доступу SELinux (па змаўчанні адключана).
- Абноўлены версіі пакетаў, у тым ліку прапанаваны выпускі musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81. Ядро Linux абноўлена да версіі 1.33.1 з партаваннем бесправаднога стэка cfg5.4.143/mac80211 з ядра 80211 і пераносам падтрымкі VPN Wireguard.
Крыніца: opennet.ru