Наведено новий значний випуск дистрибутива OpenWrt 21.02.0, орієнтованого на застосування в різних мережних пристроях, таких як маршрутизатори, комутатори та точки доступу. OpenWrt підтримує безліч різних платформ і архітектур і має систему складання, що дозволяє просто і зручно виробляти крос-компіляцію, включаючи до складу складання різні компоненти, що дозволяє легко сформувати адаптовану під конкретні завдання готову прошивку або образ диска з бажаним набором встановлених пакетів. Складання сформовано для 36 цільових платформ.
Зі змін в OpenWrt 21.02.0 відзначається:
- Підвищено мінімальні вимоги до обладнання. У складання за замовчуванням через включення додаткових підсистем ядра Linux для використання OpenWrt тепер потрібний пристрій з 8 MB Flash та 64 MB ОЗУ. При бажанні, як і раніше, можна сформувати власне урізане складання, яке зможе працювати на пристроях з 4 MB Flash і 32 MB ОЗУ, але функціональність подібного складання буде обмежена, а стабільність роботи не гарантована.
- У базове постачання включені пакети для підтримки технології захисту бездротових мереж WPA3, яка тепер доступна за умовчанням як під час роботи в режимі клієнта, так і при створенні точки доступу. У WPA3 надається захист від атак по підбору пароля (не дозволить підбирати пароль в offline-режимі) та задіяний протокол автентифікації SAE. Можливість використання WPA3 забезпечена у більшості драйверів для бездротового пристрою.
- У базовій поставці за умовчанням включена підтримка TLS і HTTPS, яка дозволяє звертатися до Web-інтерфейсу LuCI по HTTPS і використовувати утиліти, подібні до wget і opkg, для вилучення інформації по шифрованих каналах зв'язку. Сервери, через які розповсюджуються пакети, що завантажуються через opkg, також за умовчанням переведені на віддачу інформації по HTTPS. Бібліотека mbedTLS, що використовується для шифрування, замінена на wolfSSL (при необхідності вручну можна встановити бібліотеки mbedTLS і OpenSSL, які продовжують поставлятися в якості опцій). Для налаштування автоматичного прокидання на HTTPS у веб-інтерфейсі запропоновано опцію «uhttpd.main.redirect_https=1».
- Реалізовано початкову підтримку підсистеми ядра DSA (Distributed Switch Architecture), що надає засоби для налаштування та управління каскадами з'єднаних між собою Ethernet-комутаторів, використовуючи механізми, що застосовуються для налаштування звичайних мережевих інтерфейсів (iproute2, ifconfig). DSA може застосовуватися для налаштування портів і VLAN замість раніше запропонованого інструменту swconfig, але не всі драйвери комутаторів поки що підтримують DSA. У запропонованому випуску DSA задіяний для драйверів ath79 (TP-Link TL-WR941ND), bcm4908, gemini, kirkwood, mediatek, mvebu, octeon, ramips (mt7621) та realtek.
- Внесено зміни до синтаксису конфігураційних файлів, розміщених у /etc/config/network. У блоці "config interface" опція "ifname" перейменована в "device", а в блоці "config device" опції "bridge" та "ifname" перейменовані в "ports". Для нових установок тепер генеруються окремі файли з налаштуваннями пристроїв (layer 2, блок "config device") та мережевих інтерфейсів (layer 3, блок "config interface"). Задля збереження зворотної сумісності підтримка старого синтаксису збережена, тобто. раніше створені налаштування не вимагатимуть внесення змін. При цьому в веб-інтерфейсі при виявленні старого синтаксису буде виведено пропозицію про міграцію на новий синтаксис, який необхідний для редагування налаштувань через веб-інтерфейс.
Приклад нового синтаксису: config device option name 'br-lan' option type 'bridge' option macaddr '00:01:02:XX:XX:XX' list ports 'lan1' list ports 'lan2' list ports 'lan3' list ports 'lan4' config interface 'lan' option device 'br-lan' option proto 'static' option ipaddr '192.168.1.1' option netmask '255.255.255.0' option ip6assign '60' config device option name 'eth' :1:00:YY:YY:YY' config interface 'wan' option device 'eth01' option proto 'dhcp' config interface 'wan02' option device 'eth1' option proto 'dhcpv6'
За аналогією з файлами конфігурації /etc/config/network з ifname на device змінені назви полів у board.json.
- Додана нова платформа realtek, що дозволяє використовувати OpenWrt на пристроях з великим числом Ethernet-портів, таких як Ethernet-комутатори D-Link, ZyXEL, ALLNET, INABA і NETGEAR.
- Додані нові платформи bcm4908 та rockchip для пристроїв на базі SoC Broadcom BCM4908 та Rockchip RK33xx. У раніше підтримуваних платформах усунуто недоробки підтримки пристроїв.
- Припинено підтримку платформи ar71xx, замість якої слід використовувати платформу ath79 (для пристроїв, зав'язаних на ar71xx, рекомендується виконати переустановку OpenWrt з нуля). Також припинено підтримку платформ cns3xxx (Cavium Networks CNS3xxx), rb532 (MikroTik RB532) та samsung (SamsungTQ210).
- Виконувані файли програм, задіяних при обробці мережевих з'єднань, зібрані в режимі PIE (Position-Independent Executables) з повною підтримкою рандомізації адресного простору (ASLR) для утруднення експлуатації вразливостей у подібних додатках.
- При збиранні ядра Linux за замовчуванням включені опції для підтримки технологій контейнерної ізоляції, що дозволяють на більшості платформ використовувати в OpenWrt інструментарій LXC та режим procd-ujail.
- Надано можливість складання з підтримкою системи примусового контролю доступу SELinux (за замовчуванням вимкнено).
- Оновлені версії пакетів, в тому числі запропоновані випуски musl libc 1.1.24, glibc 2.33, gcc 8.4.0, binutils 2.34, hostapd 2020-06-08, dnsmasq 2.85, dropbear 2020.81. Ядро Linux оновлено до версії 1.33.1 з портуванням бездротового стека cfg5.4.143/mac80211 з ядра 80211 та перенесенням підтримки VPN Wireguard.
Джерело: opennet.ru