我为什么构建了自己的自制 Linux 路由器

还没有读者喜欢这篇文章。
Is Occupy Wall St. really an "open source protest?"
图片来自

Opensource.com

在过去的几个月里,我一直在谈论使用标准 Linux 发行版的裸安装作为路由器。我曾在 Ars Technica 上撰写过相关文章,在 Great Wide Open 上做过演讲,下周还将在 SouthEast LinuxFest 上再做一次。我必须告诉你,自制路由器是我写过和演讲过的最具争议的话题之一——有些人喜欢这个想法,但那些不喜欢的人似乎真的、真的很讨厌它。

更多 Linux 资源

公平地说,从通用服务器发行版设置自己的路由器并非适合所有人的项目。在构建过程和完成后,它肯定不用户友好。虽然它不是非常复杂,但绝对是神秘的,一路上没有任何帮助。如果你还没有非常丰富的 Linux 经验,你可能会挠头困惑(甚至可能会骂几句)。一旦完成,你也无法获得功能超级丰富的构建——除非你继续为你的构建做更多的事情,否则你将不会拥有花哨的服务质量功能、使用情况图表或任何其他东西,除了一个简陋的(尽管性能非常高)路由器,它可以分配 IP 地址、解析 DNS 记录、连接到互联网并使数据包到达它们应该去的地方。

我不介意任何人指出任何这些。实际上,我自己也指出了所有这些,而且通常在头几段中就指出了。然而,让我摇头叹息的常见抱怨是,“那会非常不安全,让你被 root,这就是你为什么应该运行专门构建的路由器发行版。” 等等——什么

好的,让我们花点时间谈谈安全性。安全性不是你在事后附加的东西,也不是用几千行代码构建的东西。安全性是一种心态,它是一种设计——它是你从基础开始构建的东西。提高安全性实际上是我构建自己的个人裸 linux 路由器的全部原因

我的职业迫使我对信息安全保持警惕,这就是我首先想要构建裸 Linux 路由器的原因。专有路由器固件通常几个月甚至几年才升级一次——而且当它确实升级时,更频繁的是在 UI 中添加一些花哨的东西——更可能引入更多错误——而不是修复安全问题。开源固件的情况也好不到哪里去。DD-WRT 是最流行的固件之一,虽然它每隔几周就会发布一个新的(且漏洞百出的)测试版,但该项目已经八年没有发布稳定版本了。八年!pfSense 几乎是业界宠儿,这是理所当然的——但它仍然是一个庞大而复杂的移动部件堆,带有 Web 界面、漂亮的图表和可以切换的小部件,你永远无法真正知道它在做什么——你单击 Web UI 中的框,并假设它正在执行你告诉它的操作,这已经与底层配置的现实相去甚远。固件更新也需要几个月(或更长时间)才能发布,并且(再次)不能真正保证更新不会更改 UI 和功能的主要部分,而不仅仅是修复错误。

对于很多人——以及企业,不要误解我的意思——这完全没问题。对于我自己的个人网络,这已经不够好了。我想要一些最小化的东西,我了解实际配置的每一寸,因为是我自己编写的。我想要真正频繁的安全更新,以及主要发行版带来的那种质量保证和测试。小型专业路由器发行版在这方面只能是陪跑者。

这就是我的自制路由器出现的原因。不,它并不比路由器发行版“更不安全”——它的移动部件要少得多,得多,而且我对所有这些部件都非常了解。除了我的实际配置文件之外,它的每一部分每天都会获得自动安全更新。如果 dhcpd 中存在小的安全问题,它的补丁不会在队列中等待,直到“有足够的东西值得费心”进行完整的固件升级发布。它会立即由 unattended-upgrades 服务自动发布和修补,在应该修补的时候

我不必担心是否因为忘记单击正确的复选框而意外地将 Web 界面暴露给外部世界——因为根本没有 Web 界面。我同样不必担心 Web 界面中的错误是否会做类似的事情,尽管我已经选中了一个框——因为没有复选框,我所做的配置是对实际服务的真实配置,而不是一个抽象和简化的版本,它必须由几千行 PHP 代码来翻译,而这些代码获得的审查眼球要少几个数量级。

因此,这使我们回到了自制路由器适合或不适合哪些人的话题。它适合不熟悉命令行级别的 Linux 网络(包括 dhcpd、iptables 和 bind)的繁忙管理员吗?可能不适合——他们没有时间处理所有这些。它适合对这些东西不感兴趣的家庭用户吗?同样,可能不适合——他们会对配置的神秘(尽管最终很简单)的性质感到沮丧。

然而,自制 Linux 路由器非常适合对这些东西的底层工作原理真正感兴趣的业余爱好者或初级系统管理员。设置和管理一个路由器将教会你很多东西。它也非常适合已经了解大多数系统并且只需要复习一两件事就能轻松上手的资深系统管理员——原始性能简直令人惊叹,系统的简单性将使这位资深系统管理员可以自由地以他们已经非常习惯的方式管理和备份它。最后,它非常适合那些极其偏执的人(不幸的是,也像我这样的人),因为其精简的性质使他们能够绝对确定他们了解它在做什么和不做什么,并在规划安全设置时相应地进行计划。

如果你是一位感兴趣的业余爱好者或系统管理员,认为这听起来像是你想要深入研究的项目——或者即使是那种认为这听起来完全疯狂,但可能值得花一个小时思考一下的人——今年来北卡罗来纳州夏洛特的 SouthEast LinuxFest 吧!活动将于 6 月 10 日至 12 日举行,我的演讲应该在 6 月 11 日星期六上午 9 点至 10 点进行。

标签
Linux
SouthEast LinuxFest
网络
Jim Salter
Jim Salter
我是一名位于南卡罗来纳州哥伦比亚的雇佣系统管理员。我对开源软件的第一次真正的实践经验是在 90 年代末和 2000 年代初在 FreeBSD Web 服务器上运行 Apache。从那时起,我转向了 Samba、BIND、qmail、postfix 以及任何其他引起我注意的东西。
更多关于我

16 条评论

Avatar
Ben Cotton | 2016年6月8日
还没有读者喜欢这篇文章。

伟大的文章,Jim!对我来说正合时宜。多年来,我一直积极避免构建自己的路由器,因为我宁愿拥有一些不需要维护的东西。我可以管理它,但是我在工作中花费了足够的时间与计算机争论,我不一定想在家里这样做(或者至少我想按照自己的方式去做)。但是最近我对我的路由器错误百出的 DD-WRT 构建越来越感到沮丧,你的帖子又一次推动我咬紧牙关,自己制作一个。

Avatar
BJ Maynard | 2016年6月8日
还没有读者喜欢这篇文章。

伟大的文章,Jim。虽然我使用 IPFire;但我理解你为什么选择自制方式。它以自己的方式简单而优雅。你知道你了解的那种交易。我喜欢它!

Avatar
Don Watkins | 2016年6月8日
还没有读者喜欢这篇文章。

谢谢你,Jim。我已经运行 DD-WRT 好几个月了,读了你的文章后,也许我应该重新考虑一下。我有一些备用硬件。这是一个及时的话题,我希望我能去 Southeast Linux Fest 听你的演讲。你给了我一些思考的东西。你使用哪种 Linux?

Avatar
Jim Salter | 2016年6月8日
还没有读者喜欢这篇文章。

我个人使用 Ubuntu,Don - 部分原因是我更喜欢 Debian 包管理,部分原因是 Ubuntu 提供具有明确支持周期的 LTS 版本。我喜欢知道 14.04 LTS 于 2014 年 4 月发布,将于 2019 年 4 月到期,这意味着在 2016 年 4 月我可以选择是否考虑升级到 16.04 LTS,如果我选择不升级,那么在 2018 年 4 月我有一年的时间需要迁移到 18.04 LTS。

Avatar
Jeff Sadowski | 2016年6月8日
还没有读者喜欢这篇文章。

太棒了(鼓掌)。
我在 1997 年使用 slackware 构建了我的第一个 linux 路由器/家庭服务器。当时 redhat 没有跟上更新,我可以使用 slackware 构建脚本来编译更新和补丁。我使用仲裁来允许我和我的兄弟共享一个 56K 调制解调器。它不是很漂亮,但嘿,至少我们俩可以同时浏览互联网。随着我的升级,我不再需要仲裁,Fedora 从 redhat 中分离出来,并且升级速度比我跟上构建脚本的速度还要快。我切换到 fedora 并将我的服务器用作虚拟环境和 DVR(Mythtv)。我在 2010 年购买了一台不错的 i3,它使用 CPU 的图形,带有 10GB 内存,并且运行良好。我 raid 了系统驱动器,并有一个驱动器用于录制。如果我可以降低功耗并保留虚拟机和 DVR,那是我唯一害怕搞砸的平衡之举。但是,BIND、dhcpd 和 iptables(使用 firewalld 实现,全新的学习体验)。我还为了好玩而实现了 ipv6 natting。最近开始使用 samba 实施 AD,明年即将进入 fedora。了解 iptables 是迄今为止最有用的(firewalld 只是一种设置它的方法,并且可以用来自动设置紧急模式)

Avatar
Bill Morrison | 2016年6月8日
还没有读者喜欢这篇文章。

我强烈建议,如果你正在运行自己的路由器,请安装像 ossec 这样的东西,不一定是它,但某种可以处理攻击并动态响应阻止或临时丢弃的解决方案。

Avatar
Steve Prior | 2016年6月8日
还没有读者喜欢这篇文章。

甚至没有在“通用服务器发行版”上运行,多年来,我运行一个路由器,它是在 Linux From Scratch 之上构建的(一台机器,我在其中根据书中的说明手动编译所有内容),它运行良好,从未失败,但管理或做任何花哨的事情都很痛苦。对于我的下一个路由器,我切换到 pfSense,以方便性和易于更新。

Avatar
Alex Ivanov | 2016年6月8日
还没有读者喜欢这篇文章。

去看看 BSDRP... 它是为任何与你观点相同的人制作的。而且就性能而言,它是一个野兽。

Avatar
rwilcher | 2016年6月8日
还没有读者喜欢这篇文章。

出色的文章。很久以前我就感到沮丧,并在一个旧的 Fedora Core release 4 盒子上做了类似的事情。我对它的功能感到惊讶。已经运行了大约 10 年。但是,我将需要分解和升级它。因为它有点耗电,并且使用标准的 IDE 驱动器。IDE 驱动器的寿命就是这样,是时候了。重新设置感觉就像心爱的宠物去世一样。这篇文章很棒,因为我可以看到我需要去哪里。干得好,伙计们!感谢激励。

Avatar
Jeff Sadowski | 2016年6月9日
还没有读者喜欢这篇文章。

我的也有点耗电,但由于我将其用作 dvr 和家庭服务器,我不确定升级会好多少。当然,我的比你的新得多,但我不想在提高效率的同时失去功能。

Avatar
Jim Salter | 2016年6月10日
还没有读者喜欢这篇文章。

我的自制路由器运行功率为 9.2W,这是通过将其插入 Kill-A-Watr 测量的。

Avatar
Rui Ribeiro | 2016年6月13日
还没有读者喜欢这篇文章。

我也决定自己构建一个。我还购买了 Lamobo R1,因为我当然不信任 Intel 架构。我运行一个最小的 Debian 8 系统,内核为 4.5.5,我在其中杀死了大多数服务,包括视频和 wifi(另一台机器,一个严重修改的 openwrt 为我提供了 wifi)。我在那里运行我的 VPN IPsec 服务器 + asterisk + 防火墙 + NAT + DHCP + 一个带有 RPZ 的 DNS 服务器,它可以阻止恶意软件和广告。我还与外部对话 dnscrypt,因此我的 DNS 请求无法在传输过程中被记录/修改。我偶尔也会在其上运行 tor 服务。除了 IPsec 之外,我不向外部公开任何服务。即使要通过 SSH 登录或使用 voIP 服务,我也必须通过 VPN 进入。我对设置非常满意,所有更新都已完成。

Avatar
Riccardo | 2016年6月14日
还没有读者喜欢这篇文章。

如果你想要强大而安全的软件,也许你可能会对两个基于 Ada 的项目感兴趣

* Ironsides (https://news.ycombinator.com/item?id=7553019) 一个“权威/递归 DNS 服务器对”,使用 SPARK(一种用于正式检查 Ada 程序的工具,请参阅 http://www.spark-2014.org/)进行形式化验证

* ADHCP (https://www.codelabs.ch/adhcp/),Ada 中的 DHCP 实现

老实说,我从未使用过这些工具,也不知道它们在多大程度上得到了积极维护,但通常 Ada 程序的平均错误比 C 程序的平均错误少得多,并且通常错误很容易被语言默认插入的检查捕获(例如,你不能有“缓冲区溢出”来静默地破坏堆栈)。根据网站的说法,Ironsides 应该被正式证明没有缓冲区溢出、未初始化的变量和其他便利设施。

Avatar
jonny rocket | 2016年6月15日
还没有读者喜欢这篇文章。

你是真男人!

相关内容

Creative Commons License本作品根据 Creative Commons Attribution-Share Alike 4.0 International License 获得许可。
© . All rights reserved.