A VPN WireGuard chega à 1.0.0 - e no próximo kernel Linux

      esse dek superior é rot26 criptografado –              É um bom dia para os usuários do WireGuard – as compilações do DKMS em breve ficarão para trás.              Jim Salter     – 30 de março de 2020 15h20 UTC             O Enlarge / WireGuard estará na árvore do Ubuntu 20.04 LTS (foto), bem como do próximo kernel 5.6.WireGuard Prevemos a inclusão do WireGuard no kernel Linux principal há algum tempo – mas a partir de domingo à tarde, é oficial. Linus Torvalds lançou o kernel do Linux 5.6, que inclui (entre outras coisas) um WireGuard na árvore. O Phoronix possui uma excelente lista curta dos novos recursos mais interessantes do kernel 5.6, além de uma “lista de tudo” mais longa para aqueles que querem ter certeza de que não perdem nada. Se é a primeira vez que você ouve sobre o WireGuard, o TL; DR é um aplicativo VPN (Rede Privada Virtual) relativamente novo que oferece uma base de código mais enxuta, configuração mais fácil, tempos de conexão mais rápidos e os mais recentes e mais completos algoritmos de criptografia revisados ​​e aprovados. Você pode encontrar uma introdução mais detalhada em nossa cobertura inicial de agosto de 2018. Posso usar isso no Windows? Mac? BSD? Android? IOS? Embora o WireGuard agora seja a versão 1.0.0 no mundo Linux, seu pacote do Windows ainda é 0.1.0 – estágios alfa iniciais. Atualmente, usamos o pacote Windows e a maioria dos usuários o considera muito útil – mas ainda não é garantido livre de “peculiaridades de segurança” específicas da plataforma ou outros problemas menores que não estão presentes no lado Linux mais testado. coisas. Se você decidir usar essas versões anteriores do WireGuard para Windows, é altamente recomendável acompanhar regularmente as notícias e atualizações. Os usuários interessados ​​do Windows podem encontrar uma prévia do suporte inicial ao WireGuard para Windows aqui. Usuários de Mac e BSD ainda não têm uma opção no kernel para suporte ao WireGuard, mas podem executar a implementação da linguagem Go a partir de seus respectivos repositórios – pkg install wireguard no FreeBSD e brew install wireguard-tools, port install wireguard-tools ou mesmo à direita da própria Apple Store no Mac. Os usuários do IOS podem encontrar o WireGuard na App Store e os usuários do Android podem encontrá-lo na Play Store. Uma palavra para o sábio: os clientes WireGuard de terceiros também existem para essas plataformas, mas recomendamos a adesão aos clientes oficiais do WireGuard vinculados aqui. Instruções e links detalhados para baixar e instalar o WireGuard em tudo ao norte de uma torradeira de cozinha podem ser encontrados aqui. WireGuard recebe auditoria de terceiros e vai 1.0.0 O próprio WireGuard obtém um aumento de versão para 1.0.0, juntamente com sua inclusão no novo kernel. Aqueles familiarizados com os padrões de versão de código-fonte aberto provavelmente não foram os únicos que deixavam de lado as versões anteriores 0.8.x ou 0.9.x – afinal, a Dovecot era o servidor IMAP4 do mundo há anos no 0.4 -, mas a versão 1.x pode aliviar as preocupações para pessoas gerenciais ou simplesmente menos entusiastas do Linux. Mais importante, o desenvolvedor fundador da WireGuard, Jason Donenfeld, encomendou uma auditoria de segurança de terceiros da base de código, que ficou clara: Eu tenho sido um pouco neurótico sobre ter 5.6 navio sem quaisquer erros de rolha de show. O WireGuard está estável há muito tempo, mas isso não me deixa menos nervoso com o negócio real na versão 5.6. Para esse fim, eu tenho revisado o código e discutido, e também tivemos uma empresa de segurança auditando o código. Essa auditoria não revelou nenhuma vulnerabilidade, mas foi uma boa sugestão de defesa em profundidade. O que significa ser “in-tree” O WireGuard ainda funcionará como um Módulo carregável de kernel (LKM) – não incorporado estaticamente no próprio kernel. Mas será “in-tree” – o que significa que ele é fornecido pronto para ser usado com o próprio kernel da baunilha, sem a necessidade de reembalar pelas várias distribuições. Isso o coloca no mesmo pé da maioria dos drivers de hardware, que também são LKMs carregados dinamicamente quando necessário. A mudança do LKM de terceiros para o LKM de terceiros também significa que não serão necessárias mais compilações de suporte dinâmico ao módulo do kernel. O DKMS é uma estrutura conveniente que permite que um módulo do kernel seja reconstruído automaticamente a partir da fonte em relação a cada novo kernel Linux à medida que é instalado – mas não é à prova de balas. Um usuário com um único computador pode passar anos sem ver um problema de DKMS, mas um administrador de sistema com dezenas de máquinas e pacotes DKMS de importância crítica provavelmente terá que procurar uma atualização danificada do kernel uma ou duas vezes por ano. As compilações do DKMS adicionam uma quantidade significativa de tempo extra às atualizações rotineiras do kernel, mesmo quando elas vão bem, pois o sistema está realmente recompilando o próprio código-fonte nos cabeçalhos do novo kernel. Embora o WireGuard seja um projeto relativamente pequeno e limpo, o tempo de criação do DKMS geralmente está no intervalo de “vários minutos”, mesmo em servidores relativamente rápidos. Isso não foi tempo extra suficiente para ser um grande fator nas atualizações automatizadas, mas foi o suficiente para causar algumas batidas frustradas nas instalações e atualizações manuais. Talvez você não precise esperar pela versão 5.6 Distribuições rápidas e avançadas, como Arch, Gentoo, Fedora e Clear Linux atualizarão muito rapidamente para o novo kernel 5.6, mas distribuições estáveis ​​como Ubuntu, Debian ou CentOS provavelmente permanecerão em kernels antigos por um ano ou mais . Felizmente, os usuários do Debian e do Ubuntu não terão que esperar pelo Linux 5.6. O próximo Ubuntu Focal Fossa possui um WireGuard com backport em sua árvore de kernel – portanto, a necessidade do PPA WireGuard deve acabar em breve para os administradores atualizados do Ubuntu. No lado do Debian, o mantenedor Ben Hutchings já comprometeu um backport para o Debian Buster. Ainda não há uma palavra para usuários do CentOS, RHEL ou SuSE, mas não ficaríamos surpresos se mais das principais distribuições estáveis ​​começassem a adicionar suporte oficial antes da atualização para o Linux 5.6.