S'ha introduït una nova versió significativa de la distribució OpenWrt 21.02.0, destinada a utilitzar-se en diversos dispositius de xarxa com ara encaminadors, commutadors i punts d'accés. OpenWrt admet moltes plataformes i arquitectures diferents i té un sistema de muntatge que permet una compilació creuada senzilla i còmoda, incloent diversos components en el conjunt, la qual cosa facilita la creació de microprogramari preparat o una imatge de disc amb el conjunt desitjat de pre- paquets instal·lats adaptats a tasques específiques. Es generen muntatges per a 36 plataformes objectiu.
Entre els canvis a l'OpenWrt 21.02.0 s'observen els següents:
- S'han augmentat els requisits mínims de maquinari. A la compilació predeterminada, a causa de la inclusió de subsistemes addicionals del nucli de Linux, utilitzar OpenWrt ara requereix un dispositiu amb 8 MB de flaix i 64 MB de RAM. Si ho desitja, encara podeu crear el vostre propi conjunt reduït que pugui funcionar en dispositius amb 4 MB de flaix i 32 MB de RAM, però la funcionalitat d'aquest conjunt serà limitada i l'estabilitat del funcionament no està garantida.
- El paquet bàsic inclou paquets per admetre la tecnologia de seguretat de xarxa sense fil WPA3, que ara està disponible per defecte tant quan es treballa en mode client com quan es crea un punt d'accés. WPA3 proporciona protecció contra atacs d'endevinació de contrasenyes (no permetrà endevinar contrasenyes en mode fora de línia) i utilitza el protocol d'autenticació SAE. La majoria de controladors per a dispositius sense fil ofereixen la possibilitat d'utilitzar WPA3.
- El paquet base inclou suport per a TLS i HTTPS de manera predeterminada, que us permet accedir a la interfície web de LuCI mitjançant HTTPS i utilitzar utilitats com wget i opkg per recuperar informació a través de canals de comunicació xifrats. Els servidors a través dels quals es distribueixen els paquets descarregats mitjançant opkg també es canvien per enviar informació mitjançant HTTPS de manera predeterminada. La biblioteca mbedTLS utilitzada per a l'encriptació s'ha substituït per wolfSSL (si cal, podeu instal·lar manualment les biblioteques mbedTLS i OpenSSL, que es continuen subministrant com a opcions). Per configurar el reenviament automàtic a HTTPS, la interfície web ofereix l'opció "uhttpd.main.redirect_https=1".
- S'ha implementat el suport inicial per al subsistema del nucli DSA (Distributed Switch Architecture), que proporciona eines per configurar i gestionar cascades de commutadors Ethernet interconnectats, utilitzant els mecanismes utilitzats per configurar les interfícies de xarxa convencionals (iproute2, ifconfig). DSA es pot utilitzar per configurar ports i VLAN en lloc de l'eina swconfig que s'oferia anteriorment, però encara no tots els controladors de commutador admeten DSA. A la versió proposada, DSA està habilitat per a controladors ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) i realtek.
- S'han fet canvis a la sintaxi dels fitxers de configuració situats a /etc/config/network. Al bloc "config interface", l'opció "ifname" s'ha canviat de nom a "device", i al bloc "config device", les opcions "bridge" i "ifname" s'han canviat de nom a "ports". Per a les instal·lacions noves, ara es generen fitxers separats amb paràmetres per als dispositius (capa 2, bloc "dispositiu de configuració") i interfícies de xarxa (capa 3, bloc "interfície de configuració"). Per mantenir la compatibilitat enrere, es manté el suport per a la sintaxi antiga, és a dir. la configuració creada anteriorment no requerirà canvis. En aquest cas, a la interfície web, si es detecta la sintaxi antiga, es mostrarà una proposta de migració a la nova sintaxi, necessària per editar la configuració a través de la interfície web.
Exemple de la nova sintaxi: config device option name 'br-lan' option type 'bridge' option macaddr '00:01:02:XX:XX:XX' list ports 'lan1' list ports 'lan2' list ports 'lan3' llista de ports 'lan4' interfície de configuració 'lan' opció dispositiu 'br-lan' opció proto 'estàtica' opció ipaddr '192.168.1.1' opció màscara de xarxa '255.255.255.0' opció ip6assign '60' opció de configuració del dispositiu nom 'eth1' opció macaddr '00 :01:02:YY:YY:YY' interfície de configuració 'wan' opció dispositiu 'eth1' opció proto 'dhcp' interfície de configuració 'wan6' opció dispositiu 'eth1' opció proto 'dhcpv6'
Per analogia amb els fitxers de configuració /etc/config/network, els noms dels camps a board.json s'han canviat de "ifname" a "device".
- S'ha afegit una nova plataforma "realtek", que permet utilitzar OpenWrt en dispositius amb un gran nombre de ports Ethernet, com els commutadors Ethernet D-Link, ZyXEL, ALLNET, INABA i NETGEAR.
- S'han afegit noves plataformes bcm4908 i rockchip per a dispositius basats en SoCs Broadcom BCM4908 i Rockchip RK33xx. Els problemes de suport del dispositiu s'han resolt per a plataformes compatibles anteriorment.
- El suport per a la plataforma ar71xx s'ha interromput, en canvi s'hauria d'utilitzar la plataforma ath79 (per als dispositius basats en ar71xx, es recomana reinstal·lar OpenWrt des de zero). El suport per a les plataformes cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) i samsung (SamsungTQ210) també s'ha interromput.
- Els fitxers executables d'aplicacions implicades en el processament de connexions de xarxa es compilen en mode PIE (Executables independents de la posició) amb suport total per a l'aleatorització de l'espai d'adreces (ASLR) per dificultar l'explotació de vulnerabilitats en aquestes aplicacions.
- Quan es construeix el nucli de Linux, les opcions estan habilitades de manera predeterminada per admetre tecnologies d'aïllament de contenidors, permetent que el conjunt d'eines LXC i el mode procd-ujail s'utilitzin a OpenWrt a la majoria de plataformes.
- Es proporciona la possibilitat de construir amb suport per al sistema de control d'accés SELinux (desactivat per defecte).
- Versions de paquets actualitzades, incloses les versions proposades musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. El nucli de Linux s'ha actualitzat a la versió 5.4.143, portant la pila sense fil cfg80211/mac80211 des del nucli 5.10.42 i portant el suport de Wireguard VPN.
Font: opennet.ru