OpenWrt 21.02 erschienen

Mo, 6. September 2021, Ralf Hersel

OpenWrt ist eine Linux-Distribution für eingebettete Systeme wie CPE-Router, Smartphones oder Pocket-Computer. OpenWrt bietet ein voll beschreibbares Dateisystem und beinhaltet den Paketmanager opkg. Das ist insbesondere für den Einsatz in CPE- und WLAN-Routern einzigartig. Die Paket-Quellen beinhalten mehr als 15.000 Software-Pakete. Mit diesen kann der Router umfassend konfiguriert und um viele Funktionen erweitert werden, die von der Firmware des Geräteherstellers nicht unterstützt werden. Nun ist die Version 21.02 der Distribution erschienen.

OpenWrt 21.02 enthält über 5800 Commits seit der vorherigen Version 19.07 und befindet sich seit etwa eineinhalb Jahren in der Entwicklung. Die Highlights der neuen Version sind:

WPA3-Unterstützung standardmässig enthalten
WPA3 wurde bereits in Version 19.07 unterstützt, war aber nicht in den Standardpaketen der OpenWrt-Images enthalten. Mit 21.02 werden alle Pakete, die für die Bereitstellung von WPA3 erforderlich sind, standardmässig in OpenWrt-Images installiert. WPA3 wird von den meisten Wifi-Treibern in OpenWrt unterstützt.

TLS- und HTTPS-Unterstützung standardmässig enthalten
TLS-Unterstützung wird nun standardmässig in OpenWrt-Images bereitgestellt, einschliesslich der vertrauenswürdigen CA-Zertifikate von Mozilla. Das bedeutet, dass wget und opkg nun das Abrufen von Ressourcen über HTTPS sofort unterstützen. Auf den opkg-Download-Server wird standardmässig über HTTPS zugegriffen. OpenWrt wechselte von mbedTLS zu wolfSSL als Standard-SSL-Bibliothek. mbedTLS und OpenSSL sind weiterhin verfügbar und können manuell installiert werden.

Erste DSA-Unterstützung
DSA steht für Distributed Switch Architecture und ist der Linux-Standard für den Umgang mit konfigurierbaren Ethernet-Switches. OpenWrt 21.02 kommt mit anfänglicher Unterstützung für DSA, die das swconfig-System ersetzt, das OpenWrt bisher verwendet hat. Nicht alle Ziele wurden portiert: einige Geräte verwenden noch swconfig, während einige Geräte bereits zu DSA gewechselt haben.

Erhöhte Mindestanforderungen an die Hardware: 8 MB Flash, 64 MB RAM
Aufgrund der Einführung neuer Funktionen und der allgemeinen Vergrösserung des Linux-Kernels benötigen Geräte nun mindestens 8 MB Flash und 64 MB RAM, um eine Standardversion von OpenWrt auszuführen. Mehr Flash-Speicher wird für die Erweiterbarkeit empfohlen.

Neue Netzwerkkonfigurationssyntax und board.json Änderung
Es gibt mehrere Änderungen an der Syntax der Netzwerkkonfiguration in /etc/config/network:

  • in config interface wurde die Option ifname in device umbenannt (da sie sich auf einen Geräteabschnitt bezieht)
  • in config device vom Typ bridge wurde ifname in ports umbenannt
  • Bei Neuinstallationen erstellt die generierte Konfiguration nun separate Abschnitte für die Konfiguration der Schicht 2 (config device) und der Schicht 3 (config interface).

Die alte Syntax wird weiterhin unterstützt, um den Übergang zu erleichtern, und es gibt keine automatische Migration beim Upgrade.

Neu unterstützte Hardware-Targets
Es wurde ein neues Realtek-Target hinzugefügt, das häufig in verwalteten Switches zu finden ist. Dadurch ist es nun möglich, OpenWrt auf Geräten mit einer grossen Anzahl von Ethernet-Ports zu betreiben. Darüber hinaus wurden neue bcm4908- und Rockchip-Targets hinzugefügt. Die bestehenden Targets wurden um Unterstützung für viele neue Boards ergänzt.

Gestrichene Hardware-Targets
Das ar71xx-Target ist in OpenWrt 19.07 veraltet und wurde schrittweise durch ath79 ersetzt. Mit OpenWrt 21.02 wurde das ar71xx nun entfernt und Benutzer müssen stattdessen ath79 verwenden. Andere Targets wurden ebenfalls entfernt: cns3xxx, rb532 und 'samsung'.

ASLR aktiviert
Netzwerkexponierte Userspace-Anwendungen werden als positionsunabhängige ausführbare Dateien (PIE) gelinkt, um eine vollständige Unterstützung der Address Space Layout Randomization (ASLR) zu ermöglichen. Dadurch wird es für Angreifer schwieriger, OpenWrt auszunutzen.

Kernel mit Container-Unterstützung
Mehrere Linux-Kernel-Kompilieroptionen, die für Linux-Container (LXC) und procd-ujail benötigt werden, sind für die meisten Targets standardmässig aktiviert. Dies ermöglicht die Verwendung von LXC und ujail mit den normalen Release-Builds.

SELinux-Unterstützung
Es ist möglich, OpenWrt mit SELinux-Unterstützung zu kompilieren. Diese ist derzeit standardmässig nicht aktiviert.

Weitere Neuigkeiten und Änderungen finden sich in den Release Notes:

Quelle: https://openwrt.org/releases/21.02/notes-21.02.0