OpenWrt 21.02随WPA3发布,默认启用HTTPS和TLS

OpenWrt 21.02刚刚发布,具有更高的安全性,默认启用WPA3、HTTPS和TLS,以及对分布式交换机体系结构的初始支持(DSA),可配置以太网交换机的Linux标准。

OpenWrt是最流行的用于路由器和入门级Linux嵌入式系统的开源Linux发行版,自发布以来,最新版本包含了超过5800个提交OpenWrt 19.072020年1月。

OpenWrt 21.02

WPA3OpenWrt 19.07中已经支持,但默认情况下未启用,OpenWrt 20.02与TLS一起更改,这要归功于来自Mozilla的可信CA证书。这意味着LuCi interface、wget、opkg package manager都可以支持HTTPS开箱即用。请注意,可以在配置文件中为LuCi禁用HTTPS重定向。另一个securi最大的变化是OpenWrt现在支持SELinux,但默认情况下不启用。

OpenWrt 21.02的DSA实现取代了当前的swconfig系统,但并不是所有的目标都被移植了,所以一些目标仍然在使用swconfig。由于这两种解决方案有很大的不同,系统升级将无法将现有的swconfig配置转换为DSA配置。

新版本还更新了配置文件的语法,包括board.json。OpenWrt 21.02仍然支持旧的约定,并且LuCI接口可以自动将配置迁移到新语法。

OpenWrt使用Linux 5.4.143、busybox 1.33.1、gcc 8.4.0更新了各种包,操作系统从mbedTLS切换到wolfSSL作为默认的SSL库。mbedTLS和OpenSSL仍然可以手动安装。瑞昱、博通(bcm4908)和瑞芯微RL33xx新增了新的硬件目标,这对瑞芯微RK3328和RK3399等板来说应该是个好消息NanoPi r2,岩石π4, Pine64RockPro64,或者已经支持的,但希望其他人喜欢橙色皮R1加将被添加到列表中。

获得新的特性和更多的安全性总是好的,但这是以更高的要求为代价的。OpenWrt 19.07已经将系统要求提高到32MB内存和4MB存储空间,但OpenWrt 21.02将要求提高到8mb闪存和64mb内存,如果你打算安装额外的软件包,开发人员甚至建议使用16MB闪存和128MB内存。OpenWrt 21.02仍然有可能为4MB闪存和32MB RAM的系统构建,但稳定性无法得到保证,正如在8/64警告页面:

内存不足,无法稳定运行

32mb RAM已被弃用。使用最新的OpenWrt版本会遇到问题。
64 MB RAM可能在稳定性方面存在一些问题,这取决于您的硬件和使用情况,尽管对于基本使用来说已经足够了
如果要使用基本的路由器/AP功能,建议使用128mb或更多的内存

如果你想继续,可以从19.07升级到21.02,但不能从OpenWrt 18.06升级。在大多数情况下,配置文件将被保留,如果您使用swconfig,系统可能会由于新的DSA设置而拒绝更新。在这种情况下,一个新的安装是唯一的选择,您可以在下载页面.

更多详情请参阅公告.

通过Linuxiac

分享:

支持CNX软件!www.yabo188.vip通过捐款贝宝cryptocurrencies,成为赞助人Patreon,或者购买评论样本

订阅
通知的
客人
评论表单收集您的姓名、电子邮件和内容,以便我们跟踪网站上的评论。请阅读并接受我们的网站条款和隐私政策以发表评论。
28评论
最老的
最新的
马辛·德布朗斯基
24天前

我想知道Melis&co要花多少年。得到那个版本?

马辛·德布朗斯基
22天前

但是RT-Thread不是基于linux的…混乱随之而来。

TLS
TLS
24天前

把它安装在我的“旧”和不支持的TP-Link(公司)设备上,我在家里用作ap。它仍然是一个非常“极客”的操作系统,要求你知道你在做什么,因为没有简单的AP/桥模式的“点击就忘记”类型设置。
至少它的UI比以前更好了,尽管它仍然非常简单和基础。

威利
威利
24天前

随着需求不断增长,我倾向于相信他们在RAM和flash使用上是非常谨慎的,最好能估算一下内核、用户域、某些库等之间的削减,这是导致增长的原因。20年前,我曾在Red Hat 5.2(不是RHEL)上部署全功能的负载均衡器,它们在128mb RAM中占用数千个并发连接。那时,Red Hat已经被认为是一个非常臃肿的操作系统。我们还部署了大量的防病毒+反垃圾邮件网关,运行64MB闪存和128MB内存。阅读更多»

evadim
evadim
24天前

亚博体育官下载关于“成千上万的并发连接在128mb RAM”-它是像现在2- 5mb视频流吗?
你的旧防火墙如何处理千兆网络+ 100- 200mbit互联网连接?你知道如果OpenWRT不支持路由器上的硬件NAT卸载,多核CPU几乎只能做软件NAT吗?
然后你想添加一些VPN连接…

tkaiser
tkaiser
24天前

>关亚博体育官下载于“数千个并发连接在128mb RAM”-它是像现在2- 5mb视频流吗?

数据包大小接近以太网MTU的视频流与20年前多得多的数据包相比?看看IMIX当时已经定义了,今天的典型数据包大小甚至不到混合的10%。

威利
威利
23天前

>关亚博体育官下载于“数千个并发连接在128mb RAM”-它是像现在2- 5mb视频流吗?这是无关的,因为只有CPU受带宽的影响,而不是RAM。只给TCP堆栈分配64MB的RAM,对于1k的并发连接将产生64kB的窗口,这足以满足每个流5mbps的流量,因此5gbps的流量。在我的例子中,它只是网络流量,高达每秒1k的连接和不到300mbps的流量。这是现代无风扇CPU几乎不会注意到的。至于我以前的386防火墙,它是阅读更多»

evadim
evadim
23天前

我提到所有这些事情是为了证明新版本中每一部分系统需求的增加是合理的。大量的流量= CPU占用率OpenVPN =大的依赖列表,消耗了大量的flash。花哨的web IU消耗RAM,默认HTTPS启用也拉了很多依赖。此外,IIRC WPA3本身拉全wpad而不是wpad-mini,因为依赖SSL。在OpenWRT的原始版本中,有一个压缩图像的特别指南的链接——如果你删除web IU, WPA3和OpenVPN,它可以自由地安装4Mb的flash。在一个AP上,我甚至丢弃数据包管理器阅读更多»

威利
威利
23天前

>我提到所有这些事情是为了证明新版本中每一部分系统需求的增加是合理的。注意,我并不是在质疑正常的增长,我只是说这个宣布似乎更戏剧化。> OpenVPN =消耗大量flash的大依赖项列表。没有那么多,未压缩的约1MB或生成的squashfs映像上约400kB,因此一旦加载,RAM不超过400kB。>花哨的web IU消耗RAM,没有那么多,LuCI是用Lua编写的,这是一个很好的选择,因为它允许非常紧凑的高级代码,这是非常清醒的阅读更多»

Hauke
Hauke
22天前

实际上没有4MB到8MB之间的闪存。例如,我不知道有任何设备有6MB的闪存。在OpenWrt 19.07中,4MB闪存上的空闲空间几乎被完全使用了,现在在8MB闪存芯片上仍然有一些空闲的mb。

TLS
TLS
24天前

请记住,路由器不像计算机那样工作,它们从flash介绍RAM中加载和映像,所以如果你有一个8MB的压缩操作系统映像在flash中,那在RAM中可以是它的2-3倍,加上你仍然需要RAM来执行事情,缓冲区,缓存等等。
这意味着128MB的RAM最终比你想象的要少得多。

威利
威利
23天前
TLS

That’s exactly how I’m making our appliances However with squashfs nowadays the image doesn’t need to be uncompressed to RAM anymore, it’s kept compressed in RAM, which is why squashfs was adopted by everyone before even being merged in mainline! Fortunately I do still have machines running perfectly fine off 64MB RAM / 16MB flash but I know this is getting more limited than it used to. Having tried to fit a 5.12 kernel into a SAM9G20’s 4MB NAND partition made me realize that it’s not possible anymore to have a tiny kernel. Mine used to fit along with阅读更多»

TLS
TLS
23天前

刚看了一下我的RE450中的可用内存,这是一个64MB的设备。正在使用约32-33MB的内存,其中9MB是缓存,3MB是缓冲区。由于系统只有57MB可用,所以只剩下约18-19MB。因为这只是一个“哑巴”美联社,这其实并不重要,但对于那些想用他们的设备做更多事情的人来说,我认为这是一个问题。亚博体育官下载
同样值得记住的是,Linux内核本身在20年里已经变得更大了。

威利
威利
23天前
TLS

同样值得记住的是,Linux内核本身在20年里已经变得很大了。是的,这也是我的观察。随着时间的推移,许多面向可伸缩性或运行时重新配置的特性被合并,而在不需要时无法关闭它们。例如,sysfs很酷,但它不是免费的。很久以前,你会在引导命令行上传递驱动程序的参数,这已经被认为是比打补丁+重新编译的改进了……例如,内核经常动态地给自己打补丁,以便插入/删除钩子阅读更多»

Arnd伯格曼
Arnd伯格曼
22天前

我想船已经开了。随着新的低端产品开始逐步淘汰DDR3,取而代之的是LPDDR4,任何比DDR3更老的东西只在现有设计中使用,为低内存系统优化未来内核的商业兴趣几乎为零。

减少膨胀仍然是有价值的,但我希望的最好是放慢它的速度,或者如果有人有一个聪明的想法,偶尔有一个比以前版本更小的内核,但不要回到几年前的内核大小。

dgp
dgp
22天前

我想这可能就是为什么一些供应商拿了4分。然后一直使用它直到时间的尽头。
在行车记录仪领域,似乎有一些Cortex A53芯片具有64或128MB的集成DDR。我想他们会运行实时操作系统或4。x内核。

Hauke
Hauke
22天前
dgp

我不认为他们没有升级主要的内核版本是因为它需要更多的内存。在过去的几年里,内存并没有大幅增加,内核每年只需要增加5%的内存。如果你激活更多的新功能,它会得到更多。旧的内核可能已经满足了市场营销部所知道的所有客户需求。如果客户需要一个最新的软件栈,他们应该为我们提供下一代硬件。

dgp
dgp
22天前

我不认为他们没有升级>主内核版本是因为它需要更多内存。在某些情况下,不可能进行升级,因为不再可能将内核映像放入存储中。在过去的几年里没有很大的增长,内核只是每年多需要5%的RAM。这不是很好,因为你可能有运行多年的东西,它不仅仅是每年增加%5的RAM。如果客户需要最新的软件栈,他们应该提供下一代硬件。你是说我们应该阅读更多»

Hauke
Hauke
22天前

flash现在从SPI NOR转移到SPI NAND也在低端。并行NAND将会消失。你能买到的最便宜的SPI NAND芯片可能有128MByte,我没见过更小的芯片。我不知道SPI NOR和SPI NAND的价格比较如何,但它们可能是相似的。路由器soc也可以直接从SPI NAND引导。我没见过多少eMMC,可能只在非常高端的设备上使用。

dgp
dgp
22天前

“我们需要有人重新启动一项长期的工作,就像20年前Tom Rini用他的“小”补丁集所做的那样。发现一些值得改进的地方是有用的。”我希望能够更容易地移除驱动程序中不支持的硬件。就像过滤相容的字符串在一个OF匹配表将停止代码的所有其他进入。例如,如果你编译macb以太网驱动程序,你就编译了它所有不同版本所需要的所有奇怪的hack,即使你只有原始版本阅读更多»

威利
威利
22天前
dgp

这是一个非常好的观点。我们都知道,这些驱动程序在许多领域需要大量特定于hw的代码。从旧的“板”模型转移到DTS模型的好处之一是删除了专用于某些板的配置选项,并拥有更通用的内核。但这是以你提到的代价为代价的,也就是说,你也会得到你不需要的东西。这让我想起了加密子系统,你不能删除它,因为它在各种驱动程序和其他子系统中到处使用。在过去,它仍然是可以建造的阅读更多»

Hauke
Hauke
22天前
dgp

您可以在Amazon.de上用17欧元购买一台16MB闪存(SPI NOR)+128MB RAM的Wifi路由器,包括税费和免费送货,请参阅“小米路由器4A”。优化更小的内存不再有意义。如果供应商添加16MB闪存和128MB RAM,而不是4MB+32MB,可能会使产品只贵0.05美元,甚至更低。供应商SDK也需要更多内存,SoC供应商参考板现在也使用更多内存。有人告诉我,DDR3 128MB和256MB芯片已经过时价格差不多。

dgp
dgp
22天前

>你可以用17欧元(含税)买到一个16MB flash (SPI NOR) >+ 128MB RAM的Wifi路由器>,并在亚马逊上免费送货,参见“小米Mi路由器4A”。太好了。问题是很多人并不关心具体的路由器。亚博体育官下载很多人关心的是,他们是否能够将更新的内核放亚博体育官下载到他们拥有的16MB SPI上的小分区中,NOR是他们已经拥有的设备。>为更小的内存进行优化已经没有多大意义了。确定它。确保内核仍然可以做它一直做的事情阅读更多»

bobdvb
21天前

在某种程度上,更小尺寸的RAM/Flash的成本比更大的更昂贵,因为如果市场对更小容量的需求较低,那么产品就更稀缺。我知道,我们必须升级到比我们需要的更大规格的设备,因为材料变得更贵。
所以这是一种相反的情况,如果你的设计过时了,保持较低规格的内存会让你的商业成本增加。

opk
opk
23天前

在这个新版本中,我最期待的特性是现在可以在主包存储库中使用dawn包。如果你有多个接入点,当你在房子里走动时,它可以踢客户换一个不同的接入点。

dwand
dwand
23天前
opk
痒的
痒的
22天前

现在我刚在我的旧dir600b1上安装了LEDE 17 ?

实际上是一个4/32设备,只是在调试期间需要它作为dhcp,没有互联网。

但是我在zyxel NBG-419v2(8/64)上尝试了21.02 rc3,并在引导循环结束,必须在回家时尝试发布。

下一个冒险将是AX3600 ?

广告