Co přináší nová verze Turris OS 5.2.0?

V nově vydané verzi operačního systému Turris OS 5.2.0 najdete přehled webového rozhraní reForis, kde je možné zjistit, zda máte aktivované automatické aktualizace, sběr dat, dynamický firewall, test připojení společně s testem konektivity NetMetr, ale také je zde vidět přidané OpenVPN klienty pro připojení k jinému OpenVPN serveru. Dále jsme se, na základě zpětné vazby, zaměřili na chybějící funkce. V novém webovém rozhraní reForis nyní najdete záložku uložiště, možnost továrního nastavení a přidání registračního tokenu pro službu Honeypot as a Service, které nám chyběli v původním rozhraní. Vylepšili jsme také kabát rozcestníku WebApps a přidali možnost si nakonfigurovat si router pomocí USB flash disku. To se hodí v případě, kdy zařízení nemá ethernetový port.

reForis

Webové rozhraní reForis používá moderní open-source technologie jako je Bootstrap, React a Flask. Tyto technologie nám umožňují mít responsivní vzhled, ale také snadněji udržovat rozhraní do budoucna. Bohužel nebylo možné snadno převzít již existující front-endové části z původního rozhraní Foris a přizpůsobit je pro nové technologie. Rozhodli jsme se proto využít příležitosti a začít s čistým štítem.

V reForisu je nyní možné najít záložku Úložiště a záložku pro Honeypot as a Service. V záložce Správa najdete možnost nastavit název zařízení a v menu Údržba najdete možnost provedení továrního nastavení. f Také jsme přepracovali část, která se týká diagnostik, aby byla přehlednější a poskytovala informace o jednotlivých diagnostických modulech. Navíc se nám obohatil seznam balíčků o dvě nové položky – RIPE Atlas SW Probe a seznam známých hesel, které je možné si nainstalovat v záložce Aktualizace.

Přehled

Po přihlášení do webového rozhraní reForis uvidíte zda máte aktivované či deaktivované automatické aktualizace, sběr dat a dynamický firewall. Dále zde najdete test připojení k Internetu pomocí IPv4 a IPv6, rychlost stahování a nahrávání z nástroje pro měření rychlosti připojení k Internetu NetMetr.cz a přidané OpenVPN klienty pro připojení k jinému OpenVPN serveru.

Náhled přehledu

Záložka úložiště

V této záložce si můžete nastavit externí úložiště, kterým může být USB flash disk, připojený SSD disk do USB portu nebo také mSATA SSD disk. Nastavte ho vždy pokud používáte balíčky, které jsou označeny štítkem Externí úložiště. Je možné je najít například u LXC kontejnerů, Nextcloudu a jiných náročných aplikací na I/O.

Zvolené externí zařízení bude používat Btrfs jako souborový systém a přesune existující složku „/srv“ z interního úložiště na externí.

Nově v reForisu můžete nastavit redundanci dat (RAID) a používat již existující externí uložiště se souborovým systémem Btrfs v případě jako je tovární nastavení.

Na následujících snímcích lze porovnat původní záložku Úložiště ve Forisu a nynější podobu v reForisu.

Nastavení storage pluginu ve verzi reForis 1.0.3

Storage plugin ve Forisu pro srovnání

V této verzi Turris OS jsme také přidali možnost přesunout systémový log z operační paměti (RAM) na externí úložiště v záložce Údržba. V případě restartu zařízení docházelo k nenávratnému smazání souborů umístěných v RAM.

Záložka Honeypot as a Service (HaaS)

Sdružení CZ.NIC provozuje veřejnou službu Honeypot as a Service (HaaS) a nasbíraná data zpracovává národní bezpečnostní tým CSIRT.CZ. HaaS je možné používat na serveru, případně na počítači, který má veřejnou IPv4 adresu. Není nutné mít router Turris. Stačí se přihlásit pomocí mojeID, případně se zaregistrovat a postupovat dle návodu.

Uživatelům routeru Turris jsme jednotlivé kroky zjednodušili. Je třeba v záložce Aktualizace zvolit a nainstalovat package list SSH honeypot. Následně se v menu Sentinel objeví záložka HaaS, kde lze vložit identifikační token. Ten se dá získat na webové stránce haas.nic.cz po přihlášení a registraci zařízení.

Formulář pro vložení tokenu pro Honeypot as a Service ve webovém rozhraní reForis

Po vložení identifikačního tokenu ho uložte. Jakmile někdo zaútočí na veřejně dostupné SSH na routeru následně se na webové stránce Honeypot as a Service zobrazí informace o útoku, tj. z které IP adresy se útočník snažil připojit, jaké přihlašovací údaje k tomu použil a které příkazy prováděl. Následně příkazy analyzuje a zpracovává Národní bezpečnostní tým CSIRT.cz.

Tovární nastavení

Z webového rozhraní reForis lze nyní provést tovární nastavení, které se může hodit, když budete chtít nastavit router úplně od začátku. Dojde k odstranění všech balíčku a souborů a router se vrátí do výchozího nastavení odpovídajícímu okamžiku vybalení z krabice. Při provádění továrního nastavení se vás webové rozhraní zeptá, zda jej chcete doopravdy provést, abychom zamezili nechtěným kliknutím.

Údržba – Tovární nastavení

Nové položky – RIPE Atlas SW Probe a nejčastěji používaná hesla

V záložce Balíčky nyní můžete najít dva nové seznamy balíčků – RIPE Atlas SW Probe a nejčastěji používaná hesla.

  1. RIPE Atlas SW Probe je vyvíjen nezávislým regionálním internetovým registrem RIPE NCC. Zapojit se do platformy RIPE Atlas, která se zabývá měřením připojení k Internetu a dosažitelnosti v reálném čase, může bezplatně úplně každý.

Platformu si představíme podrobněji v samostatném článku zde na blogu společně s návodem jak zapojit router Turris, protože je nutné používat příkazovou řádku pro získání a vygenerování veřejného SSH klíče, který je potřeba zadat při registraci do databáze RIPE Atlas. Zkušení uživatele se mohou podívat do naší dokumentace.

  1. Nejčastěji používaná hesla

Z nasbíraných dat z HaaS jsme vytvořili seznam nejčastějších hesel, které používají útočníci pro přihlášení na SSH. Po nainstalování tohoto seznamu balíčků se při změně hesla v reForisu, pokud bylo použité velmi slabé heslo, objeví upozornění, že se jedná o heslo, které není důvěryhodné, a je potřeba nastavit nové a bezpečnější heslo. Tuto funkci je možné prozatím použit pouze při změně hesla. Výjimkou je zařízení Turris Shield, kde je tato funkce předinstalovaná a je součástí prvotního nastavení. V dalších verzích bychom rádi na seznam přidali také nasbíraná hesla z minipotů.

Náhled při uložení velmi používaného hesla

Záložka diagnostiky

Diagnostiky nám pomáhají při řešení problémů, se kterými se uživatelé setkávají a konzultují je s technickou podporou. Podívali jsme se na možnosti zpřehlednění diagnostik. Na následujících screenshotech můžete posoudit, zda se nám to povedlo.

WebApps

Rozcestník webových rozhraní je v novém responsivním vzhledu s možností si nastavit dark mode.

Původní rozcestník, které najdete ve verzích Turris OS <5.1.x

Nový rozcestník WebApps

Známá miniPCIe a USB zařízení

Připravili jsme si pro vás jednu novinku, která by měla usnadnit připojení známých USB a miniPCIe zařízení, jenž jsou trvale připojené k routeru jako třeba Wi-Fi karty, LTE modemy. Pokud je zařízení uvedené v našem seznamu na GitLabu pro miniPCIe a USB zařízení, tak dojde k automatické instalaci potřebných ovladačů jen pokud je router připojen k Internetu. Pro přidání zařízení je potřeba znát vendor ID, device/product ID a které ovladače zařízení vyžaduje.

Konfigurace routeru na zařízení bez Ethernetového portu

V současné době notebooky běžně nemají ethernetový port a pro nastavení routeru je nutné si pořídit redukci. Proto jsme se rozhodli jít uživatelům naproti a poskytnout jim možnost nakonfigurovat heslo do reForise společně s heslem pro Wi-Fi pomocí souboru medkit-config.json. Následně lze tento soubor umístit do kořenového adresáře USB flash disku, kde by se měl nacházet medkit, pokud je tovární verze systému nižší než Turris OS 5.2.0. Pomocí rescue režimu je možné nahrát nový medkit.

Jak by měl vypadat syntax formátu JSON se dočtete v dokumentaci.

Poděkování testerům

Rádi bychom poděkovali všem uživatelům routerů Turris, kteří se aktivně podíleli na testování nové verze a pomáhali nám s odhalováním chyb při používání různých konfigurací routeru.

Doufáme, že se vám nové funkce líbí a pokud se s námi budete chtít podělit o své zkušenosti na fóru nebo zde v komentářích, budeme jen rádi.

Autor:

Komentáře (6)

  1. Tomáš Marný říká:

    To je všechno hezké… ale kdy bude migrace na verzi 5.x označená za stabilní aby to šlo nasadit v produkčním prostředí? Zatím je ve forisu „Migration to Turris OS 5.x (HIGHLY EXPERIMENTAL)“ takže jsem nucen zůstat na verzi 3.11

  2. Josef Schlehofer říká:

    Dobrý den,

    děkuji za Váš dotaz.

    Nová vydaná verze Turris OS 5.2 obsahuje opravu několika chyb, která nám komunita nahlásila v rámci migračního procesu. V nejbližší době bychom rádi zpropagovali experimentální migraci na sociálních sítích, abychom získali zpětnou vazbu od širší komunity a mohli bychom zpříjemnit proces i pokročilým uživatelům na základě jejich konfigurace routeru.

    S pozdravem
    JS

  3. JK říká:

    Zdravím,
    mám MOX na experimenty, běží na něm 5.2.0 (HBS). Provedl jsem Factory Reset se zastrčeným USB-WiFi (RTL8812au), při „Updates Check“ systém rozpoznal že je potřeba stáhnout driver podle odstavce „Známá miniPCIe a USB zařízení“ (kmod-rtl8812au-ct) – SUPER, v reForis nabídce Networks-WiFi se objevil interface a šel nastavit do AP módu. Ale nefunguje, a v LuCI je tento interface pořád „Disabled“. Poradíte kde je chyba?

    • Josef Schlehofer říká:

      Dobrý den,

      bylo by možné nám napsat na e-mailovou adresu tech.support@turris.cz, kde bychom se na to společnými silami podívali? Budeme rádi, když do zprávy zahrnete i vygenerovaný diagnostický soubor z administračního rozhraní reForis.

      S pozdravem,

      JS

  4. pepa říká:

    Lze na TurrisOS 5.4.0 nějakým způsobem rozjet NVme disk připojený přez konvertor minipci na pci-e a připojenou kartou s nvme SSD intel?
    Při lspci mi ho to vypíše , ale schází driver …. a000:05:00.0 Non-Volatile memory controller: Intel Corporation NVMe Datacenter SSD [3DNAND, Beta Rock Controller]
    Našel by se tedy někdo kdo s kompiluje driver zde: https://github.com/torvalds/linux/tree/master/drivers/nvme
    A nebo je v již skompilovaných driverech pod jiným označením ?

    • Josef Schlehofer říká:

      Dobrý den,

      děkuji za Váš dotaz. Na podpoře pro NVMe disky pracujeme, ale vyžaduje to víc věcí než jen pouze zkompilování ovladače v rámci Turris OS.

      Například jsme upstreamovali do U-bootu povolení podpory NVMe pro routery Turris Omnia, Turris MOX a také jsme poslali patch, který čeká na přijetí na opravu příkazu nvme detail. Co se týče modulárního routeru Turris MOX, tak zde je potřeba ještě opravit v upstream kernelu spoustu věcí, aby bylo možné používat NVMe disky.

      Bohužel, v rámci verzích Turris OS, které jsou založené na verzi OpenWrt 19.07, prozatím neposkytujeme podporu pro NVMe disky. Jakmile bude něco nového ohledně NVMe disků, dáme vědět prostřednictvím sociálních sítích.

      S pozdravem,

      Josef Schlehofer

Napsat komentář: pepa Zrušit odpověď na komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.

Tato stránka používá Akismet k omezení spamu. Podívejte se, jak vaše data z komentářů zpracováváme..