Чиглүүлэгч, унтраалга, хандалтын цэг зэрэг янз бүрийн сүлжээний төхөөрөмжүүдэд ашиглах зорилготой OpenWrt 21.02.0 түгээлтийн шинэ чухал хувилбарыг танилцууллаа. OpenWrt нь олон янзын платформ, архитектурыг дэмждэг бөгөөд угсралтын янз бүрийн бүрэлдэхүүн хэсгүүдийг багтаасан хөндлөн эмхэтгэлийг хялбар бөгөөд хялбар хийх боломжийг олгодог угсрах системтэй бөгөөд энэ нь бэлэн програм хангамж эсвэл хүссэн багц бүхий дискний дүрсийг бүтээхэд хялбар болгодог. тодорхой даалгаварт тохируулсан урьдчилан суулгасан багцуудын. Ассемблейг 36 зорилтот платформд зориулж гаргадаг.
OpenWrt 21.02.0-д гарсан өөрчлөлтүүдийн дунд дараахь зүйлийг тэмдэглэв.
- Техник хангамжийн хамгийн бага шаардлагыг нэмэгдүүлсэн. Өгөгдмөл хувилбарт Linux цөмийн нэмэлт дэд системүүд орсон тул OpenWrt-г ашиглахын тулд одоо 8 MB Flash болон 64 MB RAM-тай төхөөрөмж шаардлагатай. Хэрэв та хүсвэл 4 MB Flash болон 32 МБ RAM-тай төхөөрөмж дээр ажиллах боломжтой өөрийн задалсан угсралтыг үүсгэж болно, гэхдээ ийм угсралтын ажиллагаа хязгаарлагдмал байх бөгөөд үйл ажиллагааны тогтвортой байдал нь баталгаатай биш юм.
- Үндсэн багцад WPA3 утасгүй сүлжээний аюулгүй байдлын технологийг дэмжих багцууд багтсан бөгөөд одоо үйлчлүүлэгчийн горимд ажиллах болон хандалтын цэг үүсгэх үед анхдагчаар ашиглах боломжтой болсон. WPA3 нь нууц үг таах халдлагаас хамгаалдаг (офлайн горимд нууц үг таахыг зөвшөөрөхгүй) ба SAE баталгаажуулалтын протоколыг ашигладаг. WPA3 ашиглах чадвар нь утасгүй төхөөрөмжүүдийн ихэнх драйверуудад байдаг.
- Үндсэн багц нь анхдагчаар TLS болон HTTPS-ийн дэмжлэгийг агуулдаг бөгөөд энэ нь HTTPS-ээр дамжуулан LuCI вэб интерфэйс рүү нэвтрэх, wget, opkg зэрэг хэрэгслүүдийг ашиглан шифрлэгдсэн холбооны сувгуудаар мэдээлэл авах боломжийг олгодог. Opkg-ээр татаж авсан багцуудыг түгээдэг серверүүд нь анхдагч байдлаар HTTPS-ээр мэдээлэл илгээдэг. Шифрлэлтэд ашигладаг mbedTLS номын санг wolfSSL-ээр сольсон (хэрэв шаардлагатай бол та mbedTLS болон OpenSSL сангуудыг гараар суулгаж болно, тэдгээр нь сонголтоор хангагдсан хэвээр байна). HTTPS руу автомат дамжуулалтыг тохируулахын тулд вэб интерфэйс нь "uhttpd.main.redirect_https=1" гэсэн сонголтыг санал болгодог.
- Уламжлалт сүлжээний интерфэйсүүдийг (iproute2, ifconfig) тохируулахад ашигладаг механизмуудыг ашиглан хоорондоо холбогдсон Ethernet свичүүдийн каскадуудыг тохируулах, удирдах хэрэгслээр хангадаг DSA (Tarafed Switch Architecture) цөмийн дэд системд анхны дэмжлэгийг хэрэгжүүлсэн. DSA-г өмнө нь санал болгож байсан swconfig хэрэглүүрийн оронд портууд болон VLAN-г тохируулахад ашиглаж болох боловч бүх шилжүүлэгч драйверууд DSA-г дэмждэггүй. Санал болгож буй хувилбарт DSA-г ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) болон realtek драйверуудад идэвхжүүлсэн.
- /etc/config/network-д байрлах тохиргооны файлуудын синтакст өөрчлөлт оруулсан. "Тохиргооны интерфейс" хэсэгт "ifname" сонголтыг "төхөөрөмж" болгон өөрчилсөн бол "тохируулгын төхөөрөмж" хэсэгт "гүүр" болон "ifname" сонголтуудыг "порт" болгон өөрчилсөн. Шинэ суулгацын хувьд төхөөрөмжүүдийн тохиргоо (давхарга 2, "тохируулгын төхөөрөмж" блок) болон сүлжээний интерфейс (давхарга 3, "тохируулгын интерфейс" блок) бүхий тусдаа файлуудыг үүсгэсэн. Хоцрогдсон нийцтэй байдлыг хадгалахын тулд хуучин синтаксийн дэмжлэгийг хадгалсан болно, өөрөөр хэлбэл. Өмнө нь үүсгэсэн тохиргоог өөрчлөх шаардлагагүй. Энэ тохиолдолд вэб интерфэйс дээр хуучин синтакс илэрсэн тохиолдолд шинэ синтакс руу шилжих санал гарч ирэх бөгөөд энэ нь вэб интерфэйсээр дамжуулан тохиргоог засварлахад шаардлагатай болно.
Шинэ синтаксийн жишээ: төхөөрөмжийн тохиргооны нэр 'br-lan' сонголтын төрөл 'bridge' сонголт macaddr '00:01:02:XX:XX:XX' портуудын жагсаалт 'lan1' портуудын жагсаалт 'lan2' портуудын жагсаалт 'lan3' портуудын жагсаалт 'lan4' тохиргооны интерфейс 'lan' сонголт төхөөрөмж 'br-lan' сонголт proto 'статик' сонголт ipaddr '192.168.1.1' сонголт сүлжээний маск '255.255.255.0' сонголт ip6assign '60' тохиргооны төхөөрөмжийн сонголтын нэр 'eth1' сонголт macaddr '00 :01:02:YY:YY:YY' тохиргооны интерфейс 'wan' сонголт төхөөрөмж 'eth1' сонголт прото 'dhcp' тохиргооны интерфейс 'wan6' сонголт төхөөрөмж 'eth1' сонголт 'dhcpv6' сонголт
/etc/config/network тохиргооны файлуудын адилаар board.json дахь талбарын нэрийг “ifname”-ээс “төхөөрөмж” болгон өөрчилсөн.
- Шинэ "realtek" платформ нэмэгдсэн нь OpenWrt-ийг D-Link, ZyXEL, ALLNET, INABA, NETGEAR Ethernet шилжүүлэгч зэрэг олон тооны Ethernet порттой төхөөрөмжүүдэд ашиглах боломжийг олгосон.
- Broadcom BCM4908 болон Rockchip RK4908xx SoC дээр суурилсан төхөөрөмжүүдэд зориулсан шинэ bcm33 болон rockchip платформуудыг нэмсэн. Өмнө нь дэмжигдсэн платформуудын төхөөрөмжийн дэмжлэгийн асуудлыг шийдсэн.
- ar71xx платформыг дэмжихээ больсон тул оронд нь ath79 платформыг ашиглах хэрэгтэй (ar71xx дээр суурилсан төхөөрөмжүүдийн хувьд OpenWrt-ийг эхнээс нь дахин суулгахыг зөвлөж байна). Мөн cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) болон samsung (SamsungTQ210) платформуудыг дэмжихээ больсон.
- Сүлжээний холболтыг боловсруулахад оролцдог програмуудын гүйцэтгэгдэх файлуудыг PIE (Position-Independent Executables) горимд эмхэтгэн хаягийн орон зайн санамсаргүй хуваарилалтыг (ASLR) бүрэн дэмждэг бөгөөд ингэснээр ийм програмын эмзэг байдлыг ашиглахад хэцүү болгодог.
- Линукс цөмийг бүтээх үед контейнер тусгаарлах технологийг дэмжих тохиргоог анхдагчаар идэвхжүүлснээр LXC хэрэгсэл болон procd-ujail горимыг OpenWrt дээр ихэнх платформ дээр ашиглах боломжийг олгодог.
- SELinux хандалтын хяналтын системийн дэмжлэгтэйгээр бүтээх чадварыг өгсөн (анхдагчаар идэвхгүй болгосон).
- Санал болгож буй musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81, busybox1.33.1. зэрэг багцын шинэчилсэн хувилбарууд. Линуксийн цөм нь 5.4.143 хувилбар болж шинэчлэгдсэн бөгөөд cfg80211/mac80211 утасгүй стекийг 5.10.42 цөмөөс зөөвөрлөж, Wireguard VPN дэмжлэгийг шилжүүлсэн.
Эх сурвалж: opennet.ru