标签 路由器 下的文章

Docker 公司称过去三年收入增长了 30 倍

Docker 公司 CEO 表示,该公司的年度经常性收入在过去 3 年中增长了 30 倍。他将收入的增长归功于“与 7 万多个商业客户之间的信任”,尽管另一个因素是连续的提价和减少免费和低成本的 Docker 计划的范围。这些条款的突然和重大改变,有时让用户感到被胁迫,一些人已经寻找其他选择,但仍然有超过 1300 万的开发者使用免费计划。Docker 称,其发展是由现有用户的遥测数据指导的,他们“以匿名的方式,每秒钟收集了超过 23000 个事件”。

消息来源:Devclass
老王点评:虽然社区有不少意见,但是 Docker 公司现在看起来是一家财务上比较健康的公司了。

苹果公司选择旁观 ChatGPT

微软向开发 ChatGPT 的 OpenAI 投资百亿美元,Google 进入了恐慌模式将应对 ChatGPT 的挑战作为其最优先事项,亚马逊 AWS 也开始提供各种基于云端的大语言模型。然而世界上市值最高的企业至今未对此有任何表态。苹果主要卖的是硬件,ChatGPT 之类的 AI 对其产品而言是锦上添花,但加入 AI 竞赛需要大量投资,其中云计算是关键,而云计算并不是苹果擅长的领域。

消息来源:Solidot
老王点评:虽然 Siri 很老旧,但是苹果这个时候或许一动不如一静。

二手路由器往往装载着企业的秘密

研究人员购买了 18 台不同型号的二手路由器,其中有 9 台保留原样,完全可以使用,而只有 5 台被适当地清除过配置。这 9 台未受保护的设备都包含了该组织的 VPN 凭证、另一个安全网络通信服务的凭证,或散列的根管理员密码。此外,还包括了路由器与路由器之间的认证密钥,以及关于路由器如何连接到之前使用的特定应用程序的信息。

消息来源:Ars Technica
老王点评:这些二手设备真是信息泄露的重要来源。

不值得使用 -O3 来编译 Linux 内核

在内核社区有人 建议 在更多范围内使用-O3 编译优化参数后,Linus Torvalds 迅速 驳斥 了这一想法,因为在他看来,这带来的潜在问题更多。Phoronix 使用其著名的测试套件对 -O3 编译的内核性能进行了测试。结论是:在 230 项测试中,-O3 内核的性能只领先了 1.3%,仅在压力测试软件 Stress-NG 的上下文切换基准中有近三倍的提升,一些数据库场景有 10% 左右的提升,其它场景仅有 2% 左右的变化。总体来说,考虑到 -O3 带来的过度优化的潜在风险,使用这个优化参数没什么意义。

消息来源:Phoronix
老王点评:这下可以尘埃落定了。

Firefox 102 现在可以自动删除 URL 中的跟踪器

这项名为“查询参数剥离”的新功能,可以在你点击一个链接时自动删除 URL 中的跟踪参数。很多网站会在 URL 中附加特定的查询字符串来跟踪链接访问,比如 Facebook 使用的是 fbclid= 。Mozilla 大约在一年前开始研究这一功能,现在它已经准备好供公众使用。这项新功能是严格跟踪保护规则的一部分,但默认情况下是禁用的,因为有可能会破坏正常浏览体验。

消息来源:Engadget
老王点评:看得出来,虽然 Firefox 有种种不尽如人意之处,但是对用户隐私的保护真是竭尽全力了。

欧美大范围的路由器受到了新的、异常复杂的恶意软件的攻击

安全研究人员报告说,一个异常先进的黑客组织花了近两年时间,用恶意软件感染了北美和欧洲的各种路由器,完全控制了与路由器连接的 Windows、macOS 和 Linux 设备。他们已经发现至少有 80 个目标被这种隐秘的恶意软件感染,感染的路由器包括思科、Netgear、华硕等制造的设备。它能够列举所有连接到受感染的路由器的设备,并收集它们发送和接收的 DNS 查询和网络流量,并保持不被发现。

消息来源:ArsTechnica
老王点评:这是专门针对小型办公室和家庭办公室路由器编译的定制恶意软件,背后所图甚大。

无论你是一个网络工程师还是一个好奇的爱好者,当你在市场上购买网络设备时,都你应该看看开源的 Turris Omnia 路由器。

在 21 世纪初,我对 OpenWrt 很着迷,只想在自己的路由器上运行它。不幸的是,我没有一个能够运行自定义固件的路由器,所以我花了很多周末去旧货地摊,希望能偶然发现一个 “Slug”(黑客们对 NSLU2 路由器的俚语),但这是徒劳的。最近,我买到了 Turris Omnia,除了有一个更酷的名字外,它是一个来自捷克的路由器,使用建立在 OpenWrt 之上的开源固件。它拥有你对运行开源硬件所期望的一切,而且还有很多东西,包括可安装的软件包,因此你可以准确地添加你的家庭或企业网络最需要的东西,而忽略你不会使用的部分。如果你认为路由器是简单的设备,没有定制的余地,甚至除了 DNS 和 DHCP 之外没有其他用途,那么你需要看看 Turris Omnia。它将改变你对路由器是什么的看法,路由器能为你的网络做什么,甚至是你与整个网络的互动方式。

 title=

开始使用 Turris Omnia

尽管 Turris Omnia 的功能很强大,但它给人的感觉却很熟悉。开始使用的步骤与任何其他路由器基本相同:

  1. 打开电源
  2. 加入它提供的网络
  3. 在网络浏览器中进入 192.168.1.1 进行配置

如果你过去买过路由器,你以前会执行过这些相同的步骤。如果你不熟悉这个过程,要知道它并不比任何其他路由器复杂,而且里面有足够的文档。

 title=

简单和高级配置

在初始设置之后,当你进入 Turris Omnia 路由器时,你可以选择简单配置环境或高级配置。你必须从简单配置开始。在 密码 Password 面板中,你可以为高级界面设置一个密码,这也可以让你对路由器进行 SSH 访问。

简单界面让你配置如何连接到广域网(WAN),并为你的局域网(LAN)设置参数。它还允许你设置一个个人 WiFi 接入点、一个访客网络,以及安装插件并与之互动。

它所声称的高级界面叫做 LuCI。它是为熟悉网络拓扑和设计的网络工程师设计的,它基本上是一个键值对的集合,你可以通过一个简单的网络界面进行编辑。如果你喜欢直接编辑数值,你可以用 SSH 进入路由器。

$ ssh [email protected]
[email protected]'s password:

BusyBox v1.28.4 () built-in shell (ash)

      ______                _         ____  _____
     /_  __/_  ____________(_)____   / __ \/ ___/
      / / / / / / ___/ ___/ / ___/  / / / /\__
     / / / /_/ / /  / /  / (__  )  / /_/ /___/ /
    /_/  \__,_/_/  /_/  /_/____/   \____//____/  
                                             
 -----------------------------------------------------
 TurrisOS 4.0.1, Turris Omnia
 -----------------------------------------------------
root@turris:~#

插件

除了界面的灵活性之外,Turris Omnia 还有一个包管理器。你可以安装插件,包括网络附加存储(NAS)配置、Nextcloud 服务器、SSH 蜜罐、速度测试、OpenVPN、打印服务器、Tor 节点、运行容器的 LXC 等等。

 title=

只需点击几下,你就可以安装自己的 Nextcloud 服务器,这样你就可以运行自己的云服务或 OpenVPN,这样你就可以在离家时安全地访问你的网络。

开源路由器

这个路由器最好的部分是它是开源的,并且通过开源提供支持。你可以从他们的 gitlab.nic.cz 下载 Turris 操作系统和许多相关的开源工具。你也不必满足于设备上的固件。有了 2GB 的内存和 miniPCIe 插槽,你可以在上面运行 Debian。甚至前面板上的 LED 灯也是可编程的。这是一个黑客的路由器,无论你是一个网络工程师还是一个好奇的业余爱好者,当你在市场上购买网络设备时,你都应该看一看它。

你可以从 turris.com 网站上获得 Turris Omnia 和其他几个型号的路由器,然后加入 forum.turris.cz 的社区。他们是一群友好的爱好者,热衷于分享知识、技巧和很酷的黑客技术,以促进你对开源路由器的使用。


via: https://opensource.com/article/22/1/turris-omnia-open-source-router

作者:Seth Kenlon 选题:lujun9972 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

小米机器狗的操作系统是 Ubuntu 18.04

几个月前,小米发布了 CyberDog(“铁蛋”),这是一个四足的实验性开源机器人。据透露,CyberDog 的操作系统是 Ubuntu 18.04。小米称,“开源是 CyberDog 的核心,它确保了兼容性和增长。它使开发者能够自由地突破界限,而这正是 CyberDog 的初衷。”至于为什么运行的是 18.04 而不是 20.04,据解释是因为他们使用的是 Jetson,18.04 对于该团队的设计更兼容。

老王点评:不知道是不是开源出来了?

互联网网站的一些有趣数据

HTTP Archive 是一个由社区管理的项目,自 2010 年以来一直在跟踪 Web 是如何构建的,每月对近 820 万个网站的元数据进行测试。在其今年的 2021 年 Web 年鉴 中有一些有趣的发现:

  • 网页加载的 CSS 大小的中位数是 70 KB,最高的居然加载了 60 MB 的 CSS,而加载的外部 CSS 样式表最多的高达 2368 个。
  • 网页加载的 JavaScript 大小的中位数是 420 KB。使用 JavaScript 的页面中 84% 使用了 jQuery,而 React 只有 8%。
  • 几乎没有人采用 WebAssembly。分别占桌面和移动上所有域的 0.06% 和 0.04%。
  • 前 1000 名网站中只有 7% 使用内容管理系统,而所有抽样网站中则有 42% 使用它,其中 33.6% 似乎在使用 WordPress。
老王点评:这份报告披露的一些数据很有趣,值得一读。

安全研究人员在九种路由器中发现了 226 个缺陷

安全研究人员测试了华硕、D-Link、Netgear、TP-Link 和 Linksys 等公司制造的九种 WiFi 路由器。这些路由器主要是由小公司和家庭用户使用。供应商提供了最新的型号,升级到了最新的固件版本,但测试仍然发现了 226 个潜在漏洞。虽然部分缺陷难以利用,但有许多漏洞可归类为中高危级。研究人员发现的路由器问题包括:过时的 Linux 内核、过时的多媒体和 VPN 功能、过度依赖于旧版本的 BusyBox、使用如 admin 之类的默认弱密码、以纯文本格式保存硬编码凭证等等。

老王点评:看来个人级的 WiFi 安全性要比企业级的更脆弱。

使用开源路由协议栈 Quagga,使你的 Linux 系统成为一台路由器。

网络路由协议分为两大类:内部网关协议和外部网关协议。路由器使用内部网关协议在单个自治系统内共享信息。如果你用的是 Linux,则可以通过开源(GPLv2)路由协议栈 Quagga 使其表现得像一台路由器。

Quagga 是什么?

Quagga 是一个路由软件包),并且是 GNU Zebra 的一个分支。它为类 Unix 平台提供了所有主流路由协议的实现,例如开放最短路径优先(OSPF),路由信息协议(RIP),边界网关协议(BGP)和中间系统到中间系统协议(IS-IS)。

尽管 Quagga 实现了 IPv4 和 IPv6 的路由协议,但它并不是一个完整的路由器。一个真正的路由器不仅实现了所有路由协议,而且还有转发网络流量的能力。 Quagga 仅仅实现了路由协议栈,而转发网络流量的工作由 Linux 内核处理。

架构

Quagga 通过特定协议的守护程序实现不同的路由协议。守护程序名称与路由协议相同,加了字母“d”作为后缀。Zebra 是核心,也是与协议无关的守护进程,它为内核提供了一个抽象层,并通过 TCP 套接字向 Quagga 客户端提供 Zserv API。每个特定协议的守护程序负责运行相关的协议,并基于交换的信息来建立路由表。

 title=

环境

本教程通过 Quagga 实现的 OSPF 协议来配置动态路由。该环境包括两个名为 Alpha 和 Beta 的 CentOS 7.7 主机。两台主机共享访问 192.168.122.0/24 网络。

主机 Alpha:

IP:192.168.122.100/24 网关:192.168.122.1

主机 Beta:

IP:192.168.122.50/24 网关:192.168.122.1

安装软件包

首先,在两台主机上安装 Quagga 软件包。它存在于 CentOS 基础仓库中:

yum install quagga -y

启用 IP 转发

接下来,在两台主机上启用 IP 转发,因为它将由 Linux 内核来执行:

sysctl -w net.ipv4.ip_forward = 1
sysctl -p

配置

现在,进入 /etc/quagga 目录并为你的设置创建配置文件。你需要三个文件:

  • zebra.conf:Quagga 守护程序的配置文件,你可以在其中定义接口及其 IP 地址和 IP 转发
  • ospfd.conf:协议配置文件,你可以在其中定义将通过 OSPF 协议提供的网络
  • daemons:你将在其中指定需要运行的相关的协议守护程序

在主机 Alpha 上,

 [root@alpha]# cat /etc/quagga/zebra.conf
interface eth0
 ip address 192.168.122.100/24
 ipv6 nd suppress-ra
interface eth1
 ip address 10.12.13.1/24
 ipv6 nd suppress-ra
interface lo
ip forwarding
line vty

[root@alpha]# cat /etc/quagga/ospfd.conf
interface eth0
interface eth1
interface lo
router ospf
 network 192.168.122.0/24 area 0.0.0.0
 network 10.12.13.0/24 area 0.0.0.0
line vty

[root@alphaa ~]# cat /etc/quagga/daemons
zebra=yes
ospfd=yes

在主机 Beta 上,

[root@beta quagga]# cat zebra.conf
interface eth0
 ip address 192.168.122.50/24
 ipv6 nd suppress-ra
interface eth1
 ip address 10.10.10.1/24
 ipv6 nd suppress-ra
interface lo
ip forwarding
line vty

[root@beta quagga]# cat ospfd.conf
interface eth0
interface eth1
interface lo
router ospf
 network 192.168.122.0/24 area 0.0.0.0
 network 10.10.10.0/24 area 0.0.0.0
line vty

[root@beta ~]# cat /etc/quagga/daemons
zebra=yes
ospfd=yes

配置防火墙

要使用 OSPF 协议,必须允许它通过防火墙:

firewall-cmd --add-protocol=ospf –permanent

firewall-cmd –reload

现在,启动 zebraospfd 守护程序。

# systemctl start zebra
# systemctl start ospfd

用下面命令在两个主机上查看路由表:

[root@alpha ~]# ip route show  
default via 192.168.122.1 dev eth0 proto static metric 100
10.10.10.0/24 via 192.168.122.50 dev eth0 proto zebra metric 20
10.12.13.0/24 dev eth1 proto kernel scope link src 10.12.13.1
192.168.122.0/24 dev eth0 proto kernel scope link src 192.168.122.100 metric 100

你可以看到 Alpha 上的路由表包含通过 192.168.122.50 到达 10.10.10.0/24 的路由项,它是通过协议 zebra 获取的。同样,在主机 Beta 上,该表包含通过 192.168.122.100 到达网络 10.12.13.0/24 的路由项。

[root@beta ~]# ip route show
default via 192.168.122.1 dev eth0 proto static metric 100
10.10.10.0/24 dev eth1 proto kernel scope link src 10.10.10.1
10.12.13.0/24 via 192.168.122.100 dev eth0 proto zebra metric 20
192.168.122.0/24 dev eth0 proto kernel scope link src 192.168.122.50 metric 100

结论

如你所见,环境和配置相对简单。要增加复杂性,你可以向路由器添加更多网络接口,以为更多网络提供路由。你也可以使用相同的方法来实现 BGP 和 RIP 协议。


via: https://opensource.com/article/20/4/quagga-linux

作者:M Umer 选题:lujun9972 译者:messon007 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

你的路由器是你与互联网之间的第一个联系点。它给你带来了多少风险?

我一直对写在 T 恤上的“127.0.0.1 是独一无二的地方” 这句话持有异议。我知道你可能会认为应该将它看作是“家”,但是对于我来说,我认为应该是“本地主机是独一无二的地方”,就像世界上没有完全相同的二个戒指一样。在本文中,我想去讨论一些宽泛的问题:家庭网络的入口,对大多数人来说它是线缆或宽带路由器。 1 英国和美国政府刚公布了“俄罗斯” 2 攻击路由器的通告。我估计这次的攻击主要针对的是机构,而不是家庭,(看我以前的文章 “国家行为者是什么,我们应该注意些什么?”),但这对我们所有人都是一个警示。

路由器有什么用?

路由器很重要。它用于将一个网络(在本文中,是我们的家庭网络)与另外一个网络(在本文中,是指互联网,通过我们的互联网服务提供商的网络)连接。事实上,对于大多数人来说,我们所谓的“路由器” 3 这个小盒子能够做的事情远比我们想到的要多。“路由” 一个比特就就如其听起来的意思一样:它让网络中的计算机能够找到一条向外部网络中计算机发送数据的路径 —— 当你接收数据时,反之。

在路由器的其它功能中,大多数时候也作为一台调制解调器来使用。我们中的大部分人 4 到互联网的连接是通过电话线来实现的 —— 无论是电缆还是标准电话线 —— 尽管现在的最新趋势是通过移动互联网连接到家庭中。当你通过电话线连接时,我们所使用的互联网信号必须转换成其它的一些东西,(从另一端来的)返回信号也是如此。对于那些还记得过去的“拨号上网”时代的人来说,它就是你的电脑边上那个用于上网的发出刺耳声音的小盒子。

但是路由器能做的事情很多,有时候很多的事情,包括流量记录、作为一个无线接入点、提供 VPN 功能以便于从外部访问你的内网、儿童上网控制、防火墙等等。

现在的家用路由器越来越复杂;虽然国家行为者也行不会想着攻破它,但是其它人也许会。

你会问,这很重要吗?如果其它人可以进入你的系统,他们可以很容易地攻击你的笔记本电脑、电话、网络设备等等。他们可以访问和删除未被保护的个人数据。他们可以假装是你。他们使用你的网络去寄存非法数据或者用于攻击其它人。基本上所有的坏事都可以做。

幸运的是,现在的路由器趋向于由互联网提供商来做设置,言外之意是你可以忘了它的存在,他们将保证它是运行良好和安全的。

因此,我们是安全的吗?

不幸的是,事实并非如此。

第一个问题是,互联网提供商是在有限的预算范围内做这些事情,而使用便宜的设备来做这些事可以让他们的利益最大化。互联网提供商的路由器质量越来越差。它是恶意攻击者的首选目标:如果他们知道特定型号的路由器被安装在几百万个家庭使用,那么很容易找到攻击的动机,因为攻击那个型号的路由器对他们来说是非常有价值的。

产生的其它问题还包括:

  • 修复 bug 或者漏洞的过程很缓慢。升级固件可能会让互联网提供商产生较高的成本,因此,修复过程可能非常缓慢(如果他们打算修复的话)。
  • 非常容易获得或者默认的管理员密码,这意味着攻击者甚至都不需要去找到真实的漏洞 —— 他们就可以登入到路由器中。

对策

对于进入互联网第一跳的路由器,如何才能提升它的安全性,这里给你提供一个快速应对的清单。我是按从简单到复杂的顺序来列出它们的。在你对路由器做任何改变之前,需要先保存配置数据,以便于你需要的时候回滚它们。

  1. 密码: 一定,一定,一定要改变你的路由器的管理员密码。你可能很少会用到它,所以你一定要把密码记录在某个地方。它用的次数很少,你可以考虑将密码粘贴到路由器上,因为路由器一般都放置在仅供授权的人(你和你的家人 5 )才可以接触到的地方。
  2. 仅允许管理员从内部进行访问: 除非你有足够好的理由和你知道如何去做,否则不要允许任何机器从外部的互联网上管理你的路由器。在你的路由器上有一个这样的设置。
  3. WiFi 密码: 一旦你做到了第 2 点,也要确保在你的网络上的那个 WiFi 密码 —— 无论是设置为你的路由器管理密码还是别的 —— 一定要是强密码。为了简单,为连接你的网络的访客设置一个“友好的”简单密码,但是,如果附近一个恶意的人猜到了密码,他做的第一件事情就是查找网络中的路由器。由于他在内部网络,他是可以访问路由器的(因此,第 1 点很重要)。
  4. 仅打开你知道的并且是你需要的功能: 正如我在上面所提到的,现代的路由器有各种很酷的选项。不要使用它们。除非你真的需要它们,并且你真正理解了它们是做什么的,以及打开它们后有什么危险。否则,将增加你的路由器被攻击的风险。
  5. 购买你自己的路由器: 用一个更好的路由器替换掉互联网提供商给你的路由器。去到你本地的电脑商店,让他们给你一些建议。你可能会花很多钱,但是也可能会遇到一些非常便宜的设备,而且比你现在拥有的更好、性能更强、更安全。你也可以只买一个调制解调器。一般设置调制解调器和路由器都很简单,并且,你可以从你的互联网提供商给你的设备中复制配置,它一般就能“正常工作”。
  6. 更新固件: 我喜欢使用最新的功能,但是通常这并不容易。有时,你的路由器上会出现固件更新的提示。大多数的路由器会自动检查并且提示你在下次登入的时候去更新它。问题是如果更新失败则会产生灾难性后果 6 或者丢失配置数据,那就需要你重新输入。但是你真的需要考虑去持续关注修复安全问题的固件更新,并更新它们。
  7. 转向开源: 有一些非常好的开源路由器项目,可以让你用在现有的路由器上,用开源的软件去替换它的固件/软件。你可以在 Wikipedia 上找到许多这样的项目,以及在 Opensource.com 上搜索 “router”,你将看到很多非常好的东西。对于谨慎的人来说要小心,这将会让你的路由器失去保修,但是如果你想真正控制你的路由器,开源永远是最好的选择。

其它问题

一旦你提升了你的路由器的安全性,你的家庭网络将变的很好——这是假像,事实并不是如此。你家里的物联网设备(Alexa、Nest、门铃、智能灯泡、等等)安全性如何?连接到其它网络的 VPN 安全性如何?通过 WiFi 的恶意主机、你的孩子手机上的恶意应用程序 …?

不,你永远不会有绝对的安全。但是正如我们前面讨论的,虽然没有绝对的“安全”这种事情,但是并不意味着我们不需要去提升安全标准,以让坏人干坏事更困难。

脚注

  1. 我写的很简单 — 但请继续读下去,我们将达到目的。
  2. “俄罗斯政府赞助的信息技术国家行为者”
  3. 或者,以我父母的例子来说,我猜叫做 “互联网盒子”。
  4. 这里还有一种这样的情况,我不希望在评论区告诉我,你是直接以 1TB/s 的带宽连接到本地骨干网络的。非常感谢!
  5. 或许并没有包含整个家庭。
  6. 你的路由器现在是一块“砖”,并且你不能访问互联网了。

这篇文章最初发表在 Alice, Eve, 和 Bob – 安全博客 并授权重发布。


via: https://opensource.com/article/18/5/how-insecure-your-router

作者:Mike Bursell 选题:lujun9972 译者:qhwdw 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出