Megjelent az OpenWrt 21.02.0 disztribúció új jelentős kiadása, amely különféle hálózati eszközökben, például útválasztókban, kapcsolókban és hozzáférési pontokban való felhasználást célozza. Az OpenWrt számos különböző platformot és architektúrát támogat, és olyan összeállítási rendszerrel rendelkezik, amely lehetővé teszi az egyszerű és kényelmes kereszt-összeállítást, beleértve az összeállítás különböző komponenseit is, ami megkönnyíti a kész firmware vagy lemezkép létrehozását a kívánt elő-készlettel. speciális feladatokhoz igazított telepített csomagok. Az összeállításokat 36 célplatformhoz állítják elő.
Az OpenWrt 21.02.0 változásai között a következőket jegyezzük meg:
- Megnövelték a minimális hardverkövetelményeket. Az alapértelmezett buildben, a további Linux kernel-alrendszerek beépítése miatt, az OpenWrt használatához most 8 MB Flash-el és 64 MB RAM-mal rendelkező eszközre van szükség. Ha szeretné, továbbra is létrehozhat saját lecsupaszított összeállítást, amely 4 MB Flash-el és 32 MB RAM-mal rendelkező eszközökön is működik, de egy ilyen szerelvény funkcionalitása korlátozott lesz, és a működés stabilitása nem garantált.
- Az alapcsomag a WPA3 vezeték nélküli hálózati biztonsági technológiát támogató csomagokat tartalmaz, amely már alapértelmezés szerint elérhető mind kliens módban, mind hozzáférési pont létrehozásakor. A WPA3 védelmet nyújt a jelszókitaláló támadások ellen (offline módban nem teszi lehetővé a jelszókitalálást), és a SAE hitelesítési protokollt használja. A WPA3 használatának lehetőségét a legtöbb vezeték nélküli eszköz illesztőprogramja biztosítja.
- Az alapcsomag alapértelmezés szerint támogatja a TLS-t és a HTTPS-t, amely lehetővé teszi a LuCI webes felület elérését HTTPS-en keresztül, és olyan segédprogramok használatát, mint a wget és az opkg az információk titkosított kommunikációs csatornákon keresztüli lekéréséhez. Azok a szerverek, amelyeken keresztül az opkg-on keresztül letöltött csomagokat terjesztik, szintén alapértelmezés szerint HTTPS-en keresztül küldenek információkat. A titkosításhoz használt mbedTLS könyvtárat a wolfSSL váltotta fel (szükség esetén manuálisan telepítheti az mbedTLS és OpenSSL könyvtárakat, amelyeket továbbra is opcióként szállítunk). A HTTPS-re történő automatikus továbbítás beállításához a webes felület az „uhttpd.main.redirect_https=1” lehetőséget kínálja.
- Megvalósult a kezdeti támogatás a DSA (Distributed Switch Architecture) kernel alrendszerhez, amely eszközöket biztosít az összekapcsolt Ethernet switchek kaszkádjainak konfigurálásához és kezeléséhez, a hagyományos hálózati interfészek (iproute2, ifconfig) konfigurálására használt mechanizmusok segítségével. A DSA használható portok és VLAN-ok konfigurálására a korábban felajánlott swconfig eszköz helyett, de még nem minden kapcsoló-illesztőprogram támogatja a DSA-t. A javasolt kiadásban a DSA engedélyezve van az ath79 (TP-Link TL-WR941ND), a bcm4908, a gemini, a kirkwood, a mediatek, az mvebu, az octeon, a ramips (mt7621) és a realtek illesztőprogramokhoz.
- Változások történtek az /etc/config/network könyvtárban található konfigurációs fájlok szintaxisában. A "config interface" blokkban az "ifname" opciót "device"-re, a "config device" blokkban pedig a "bridge" és "ifname" opciókat "portokra" nevezték el. Az új telepítéseknél külön fájlok jönnek létre az eszközök (2. réteg, „config device” blokk) és a hálózati interfészek (3. réteg, „config interface” blokk) beállításaival. A visszamenőleges kompatibilitás fenntartása érdekében megmarad a régi szintaxis támogatása, pl. A korábban létrehozott beállítások nem igényelnek módosítást. Ebben az esetben a webes felületen, ha a régi szintaxist észleli, megjelenik egy javaslat az új szintaxisra való átállásra, amely a beállítások webes felületen keresztül történő szerkesztéséhez szükséges.
Példa az új szintaxisra: config eszköz beállítás neve 'br-lan' opció típusa 'bridge' opció macaddr '00:01:02:XX:XX:XX' lista portok 'lan1' lista portok 'lan2' lista portok 'lan3' portok listája 'lan4' konfigurációs interfész 'lan' beállítás eszköz 'br-lan' opció proto 'static' opció ipaddr '192.168.1.1' opció netmask '255.255.255.0' opció ip6assign '60' beállítás eszköz beállítás neve 'eth1' opció macaddr '00 :01:02:YY:YY:YY' konfigurációs interfész 'wan' opció eszköz 'eth1' opció proto 'dhcp' konfigurációs interfész 'wan6' beállítás eszköz 'eth1' opció proto 'dhcpv6'
Az /etc/config/network konfigurációs fájlokkal analóg módon a board.json fájl mezőnevei „ifname”-ről „device”-re változtak.
- Új „realtek” platformmal bővült, amely lehetővé teszi az OpenWrt használatát nagyszámú Ethernet porttal rendelkező eszközökön, mint például a D-Link, ZyXEL, ALLNET, INABA és NETGEAR Ethernet switchek.
- Új bcm4908 és rockchip platformok kerültek hozzáadásra a Broadcom BCM4908 és Rockchip RK33xx SoC alapú eszközökhöz. Az eszköztámogatási problémák megoldódtak a korábban támogatott platformokon.
- Az ar71xx platform támogatása megszűnt, helyette az ath79 platformot kell használni (az ar71xx alapú eszközöknél javasolt az OpenWrt újratelepítése a semmiből). A cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) és samsung (SamsungTQ210) platformok támogatása szintén megszűnt.
- A hálózati kapcsolatok feldolgozásával foglalkozó alkalmazások végrehajtható fájljait PIE (Position-Independent Executables) módban állítják össze, teljes mértékben támogatva a címtér véletlenszerűsítését (ASLR), hogy megnehezítsék az ilyen alkalmazásokban lévő sebezhetőségek kihasználását.
- A Linux kernel felépítésekor a beállítások alapértelmezés szerint engedélyezve vannak a konténer elkülönítési technológiák támogatása érdekében, lehetővé téve az LXC eszközkészlet és a procd-ujail mód használatát az OpenWrt-ben a legtöbb platformon.
- Lehetőség van a SELinux beléptetőrendszer támogatásával való építkezésre (alapértelmezés szerint le van tiltva).
- Frissített csomagverziók, beleértve a javasolt kiadásokat: musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox 1.33.1. A Linux kernel az 5.4.143-as verzióra frissült, áthelyezve a cfg80211/mac80211 vezeték nélküli vermet az 5.10.42-es kernelből, és áthelyezve a Wireguard VPN támogatást.
Forrás: opennet.ru