Hè statu introduttu una nova liberazione significativa di a distribuzione OpenWrt 21.02.0, destinata à l'usu in diversi dispositi di rete cum'è routers, switches è punti d'accessu. OpenWrt soporta parechje piattaforme è architetture diverse è hà un sistema di assemblea chì permette una compilazione incruciata simplice è còmuda, cumprese diversi cumpunenti in l'assemblea, chì facilita a creazione di firmware prontu o una maghjina di discu cù u settore desideratu di pre- pacchetti installati adattati per compiti specifichi. L'assemblee sò generate per 36 piattaforme di destinazione.
Trà i cambiamenti in OpenWrt 21.02.0 sò nutati i seguenti:
- I requisiti minimi di hardware sò stati aumentati. In a custruzzione predeterminata, per via di l'inclusione di sottosistemi di kernel Linux addiziunali, l'usu di OpenWrt hè avà bisognu di un dispositivu cù 8 MB Flash è 64 MB RAM. Se vulete, pudete ancu creà a vostra propria assemblea spogliata chì pò travaglià nantu à i dispositi cù 4 MB Flash è 32 MB RAM, ma a funziunalità di una tale assemblea serà limitata, è a stabilità di u funziunamentu ùn hè micca garantita.
- U pacchettu di basa include pacchetti per supportà a tecnulugia di sicurità di a rete wireless WPA3, chì hè avà dispunibule per automaticamente sia quandu travaglia in modu di cliente è quandu crea un puntu d'accessu. WPA3 furnisce prutezzione contru l'attacchi di guessing di password (ùn permetterà micca guessing di password in modu offline) è usa u protocolu di autentificazione SAE. A capacità di utilizà WPA3 hè furnita in a maiò parte di i cunduttori per i dispositi wireless.
- U pacchettu di basa include supportu per TLS è HTTPS per automaticamente, chì vi permette di accede à l'interfaccia Web LuCI nantu à HTTPS è utilizate utilità cum'è wget è opkg per ricuperà l'infurmazioni nantu à i canali di cumunicazione criptati. I servitori attraversu quale i pacchetti scaricati via opkg sò distribuiti sò ancu cambiati à l'invio d'infurmazioni via HTTPS per difettu. A biblioteca mbedTLS utilizata per a criptografia hè stata rimpiazzata da wolfSSL (se necessariu, pudete installà manualmente e librerie mbedTLS è OpenSSL, chì cuntinueghjanu à esse furnite cum'è opzioni). Per cunfigurà l'invio automaticu à HTTPS, l'interfaccia web offre l'opzione "uhttpd.main.redirect_https=1".
- U supportu iniziale hè statu implementatu per u subsistema di kernel DSA (Distributed Switch Architecture), chì furnisce strumenti per cunfigurà è gestisce cascate di switch Ethernet interconnessi, utilizendu i meccanismi utilizati per cunfigurà interfacce di rete convenzionali (iproute2, ifconfig). DSA pò esse usatu per cunfigurà porti è VLAN in u locu di l'utile swconfig offrittu prima, ma micca tutti i cunduttori di switch supportanu ancora DSA. In a versione pruposta, DSA hè attivatu per i driver ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) è realtek.
- I cambiamenti sò stati fatti à a sintassi di i schedarii di cunfigurazione situati in /etc/config/network. In u bloccu "config interface", l'opzione "ifname" hè stata rinominata in "dispositivu", è in u bloccu "config device", l'opzioni "ponte" è "ifname" sò state rinominate in "ports". Per e novi installazioni, i schedarii separati cù paràmetri per i dispositi (layer 2, "config device") è l'interfacce di rete (layer 3, "config interface") sò avà generati. Per mantene a cumpatibilità inversa, u supportu per a sintassi antica hè conservata, i.e. i paràmetri creati prima ùn necessitanu micca cambiamenti. In questu casu, in l'interfaccia web, se a vechja sintassi hè rilevata, una pruposta di migrazione à a nova sintassi serà visualizata, chì hè necessariu di edità i paràmetri attraversu l'interfaccia web.
Esempiu di a nova sintassi: config device option name 'br-lan' option type 'bridge' option macaddr '00:01:02:XX:XX:XX' list ports 'lan1' list ports 'lan2' list ports 'lan3' list ports 'lan4' config interface 'lan' option device 'br-lan' option proto 'static' option ipaddr '192.168.1.1' option netmask '255.255.255.0' option ip6assign '60' config device option name 'eth1' option macaddr '00 :01:02:YY:YY:YY' interfaccia di cunfigurazione 'wan' opzione dispositivo 'eth1' opzione proto 'dhcp' interfaccia di cunfigurazione 'wan6' opzione dispositivo 'eth1' opzione proto 'dhcpv6'
Per analogia cù i schedarii di cunfigurazione /etc/config/network, i nomi di campu in board.json sò stati cambiati da "ifname" à "dispositivu".
- Una nova piattaforma "realtek" hè stata aghjunta, chì permette à OpenWrt di esse utilizatu nantu à i dispositi cù un gran numaru di porti Ethernet, cum'è switches Ethernet D-Link, ZyXEL, ALLNET, INABA è NETGEAR.
- Aghjunghjite novi piattaforme bcm4908 è rockchip per i dispositi basati in Broadcom BCM4908 è Rockchip RK33xx SoCs. I prublemi di supportu di u dispositivu sò stati risolti per e plataforme supportate prima.
- U supportu per a piattaforma ar71xx hè stata interrotta, invece a piattaforma ath79 deve esse usata (per i dispositi basati in ar71xx, hè cunsigliatu di reinstallà OpenWrt da zero). U supportu per e piattaforme cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) è samsung (SamsungTQ210) hè statu ancu discontinuatu.
- I fugliali eseguibili di l'applicazioni implicati in u processu di e cunnessione di a rete sò compilati in modu PIE (Executables Position-Independent) cù un supportu tutale per a randomizazione di u spaziu di indirizzu (ASLR) per rende difficiule di sfruttà e vulnerabilità in tali applicazioni.
- Quandu si custruisce u kernel Linux, l'opzioni sò attivate per difettu per supportà e tecnulugia di isolamentu di u containeru, chì permettenu u toolkit LXC è u modu procd-ujail per esse usatu in OpenWrt in a maiò parte di e piattaforme.
- A capacità di custruisce cù supportu per u sistema di cuntrollu di l'accessu SELinux hè furnita (disabilitatu per difettu).
- Versioni di pacchetti aghjurnati, cumprese i versioni pruposti musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. U kernel Linux hè statu aghjurnatu à a versione 5.4.143, portendu a pila wireless cfg80211/mac80211 da u kernel 5.10.42 è porting Wireguard VPN support.
Source: opennet.ru