在过去的几个月里,我一直在谈论使用标准 Linux 发行版的裸机安装作为路由器。我在 Ars Technica 上写过关于它的文章,我在Great Wide Open 上做过演讲,下周我将在SouthEast LinuxFest 上再做一次演讲。我必须告诉你,自制路由器是我写过和演讲过的最具争议性的话题之一——有些人喜欢这个想法,但那些不喜欢的人似乎真的、真的讨厌它。
公平地说,从通用服务器发行版设置您自己的路由器并非适合所有人的项目。在构建过程和完成后,它当然都不友好。虽然它不是非常复杂,但绝对是神秘的,一路走来绝对没有任何手把手的指导。如果您对 Linux 不是很熟悉,您可能会挠头困惑(甚至可能会骂几句)。一旦完成,您也不会获得功能非常丰富的构建——除非您在构建过程中做得比我自己的更多,否则您不会拥有花哨的服务质量功能、使用情况图表,或者除了一个简陋的(尽管性能极其高)路由器之外的任何其他东西,该路由器可以分配 IP 地址、解析 DNS 记录、连接到互联网,并使数据包到达它们应该去的地方。
我对任何人指出任何这些问题都没有意见。实际上,我自己也指出了所有这些,而且通常在前几段中就指出了。然而,最常见的抱怨让我摇头的是,“那会非常不安全,并且会让您被root,这就是为什么您应该运行专门构建的路由器发行版。”等等——什么?
好的,让我们谈谈安全性。安全性不是您事后才添加的东西,也不是用几千行代码构建出来的东西。安全性是一种心态,它是一种设计——它是您从基础构建起来的东西。提高安全性实际上是我构建自己的个人裸机 linux 路由器的全部原因。
我的职业迫使我对信息安全保持警惕,这就是为什么我首先想要构建一个裸机 Linux 路由器。专有路由器固件通常在数月或数年之间才会升级——而当它确实升级时,它更频繁地是为了在 UI 中添加一些闪光点——更有可能引入更多错误——而不是为了修复安全问题。开源固件的情况也好不到哪里去。DD-WRT 是最流行的固件之一,虽然它每隔几周就会发布一个新的(且漏洞百出的)测试版,但该项目已经八年没有发布稳定版本了。八年!pfSense 几乎是业界的宠儿,这是理所当然的——但它仍然是一个庞大而复杂的移动部件堆,带有 Web 界面和漂亮的图表以及可以切换的位和字节,您永远不会真正了解它正在做的所有事情——您单击 Web UI 中的框,然后您假设它正在执行您告诉它的操作,这已经非常抽象于底层配置的现实。它还在数月(或更长时间)之间才会发布固件更新,并且(再次)不能真正保证更新不会更改 UI 和功能的主要部分,而不仅仅是修复错误。
对于很多人——以及企业,请不要误会我的意思——这完全没问题。对于我自己的个人网络,这已经不够好了。我想要一些最小化的东西,在其中我知道实际配置的每一寸,因为那是我自己编写的。我想要真正频繁的安全更新,以及主要发行版带来的那种质量保证和测试。小型专业路由器发行版不可避免地会在这方面落后。
这就是我的自制路由器的由来。不,它并不比路由器发行版“更不安全”——它的移动部件要少得多得多,而且我非常了解所有这些部件。除了我的实际配置文件之外,它的每一部分每天都会获得自动安全更新。如果 dhcpd 中存在轻微的安全问题,它的补丁不会排队等待,直到“有足够的东西值得”进行完整的固件升级发布。它会立即由 unattended-upgrades 服务立即发布并自动修补,这是它应该做的。
我不必担心我是否不小心将 Web 界面暴露给外部世界,因为我忘记选中正确的复选框——根本没有 Web 界面。同样,我也不必担心 Web 界面中的错误是否会执行类似的操作,尽管我选中了一个框——因为没有复选框,我正在进行的配置是实际服务的真实配置,而不是必须由几千行 PHP 代码翻译的抽象和简化版本,这些代码获得的审查眼球要少几个数量级。
因此,这使我们回到了自制路由器适合或不适合哪些人的话题。它适合已经不熟悉命令行级别的 Linux 网络(包括 dhcpd、iptables 和 bind)的忙碌管理员吗?可能不适合——他们没有时间处理所有这些。它适合不是对这些事物感兴趣的业余爱好者的家庭用户吗?同样,可能不适合——他们会对配置的神秘(但最终很简单)的性质感到沮丧。
自制 Linux 路由器确实适合真正对这些东西在底层如何工作感兴趣的业余爱好者或初级系统管理员。设置和管理一个路由器将教会您很多东西。对于已经了解大部分系统并且只需要复习一两件事才能适应的资深系统管理员来说,它也是一个非常好的选择——原始性能简直令人惊叹,并且系统的简单性将使资深系统管理员可以自由地以他们已经非常熟悉的方式管理和备份它。最后,它非常适合那些极其神经质的类型(不幸的是,就像现在的我一样),因为其精简的性质使他们可以绝对确定他们了解它的用途和不用途,并在规划安全设置时相应地进行规划。
如果您是一位感兴趣的业余爱好者或系统管理员,并且认为这听起来像是您想深入研究的项目——或者甚至是那些认为这听起来完全是异想天开,但可能花一个小时思考一下也很有趣的人——请今年来北卡罗来纳州夏洛特的 SouthEast LinuxFest!该活动将于 6 月 10 日至 12 日举行,我的演讲应该在6 月 11 日星期六上午 9-10 点举行。
16 条评论