WireGuard VPN arriva alla 1.0.0 e al prossimo kernel Linux

61

Ingrandisci / WireGuard sarà nella struttura ad albero per Ubuntu 20.04 LTS (nella foto), così come per il prossimo kernel 5.6.

WireGuard

Abbiamo previsto l’inclusione di WireGuard nel kernel Linux principale da un po’ di tempo, ma da domenica pomeriggio è ufficiale. Linus Torvalds ha rilasciato il kernel Linux 5.6, che include (tra le altre cose) un WireGuard in-tree. Phoronix ha un breve elenco delle nuove funzionalità più interessanti del kernel 5.6, nonché una “lista di tutto” più lunga per coloro che vogliono assicurarsi di non perdere nulla. Se è la prima volta che senti parlare di WireGuard, TL;DR è un’applicazione VPN (Virtual Private Network) relativamente nuova che offre una base di codice più snella, una configurazione più semplice, tempi di connessione più rapidi e il peer più recente e più completo – algoritmi di crittografia revisionati e approvati. Puoi trovare un’introduzione più dettagliata nella nostra copertura iniziale di agosto 2018.

Posso usarlo su Windows? Mac? BSD? Android? IOS?

Sebbene WireGuard sia ora la versione 1.0.0 nel mondo Linux, il suo pacchetto Windows è in beta a 0.1.0; ha aggiunto funzionalità significative di prestazioni, stabilità, localizzazione e accessibilità dalla nostra anteprima dettagliata di una versione precedente.

Abbiamo utilizzato il pacchetto Windows una discreta quantità ora e la maggior parte degli utenti lo troverà molto utilizzabile nonostante sia in versione beta. Se decidi di utilizzare queste versioni pre-release di Windows, ti consigliamo di tenere traccia regolarmente delle notizie e degli aggiornamenti di WireGuard.

Gli utenti Mac e BSD non hanno ancora un’opzione nel kernel per il supporto di WireGuard, ma possono eseguire l’implementazione del linguaggio Go dai rispettivi repository: pkg install wireguard su FreeBSD e brew install wireguard-tools, port install wireguard-tools, o anche a destra dall’Apple Store stesso sul Mac.

Annuncio

Gli utenti IOS possono trovare WireGuard nell’App Store e gli utenti Android possono trovarlo nel Play Store o, per coloro che preferiscono rollare senza Google, il repository F-Droid. C’è anche un’allettante differenza nel repository del kernel Android, suggerendo una versione aggiornata del kernel che gli utenti Android potrebbero vedere in una futura versione di Android.

Una parola per il saggio: esistono client WireGuard di terze parti anche per queste piattaforme, ma consigliamo di attenersi ai client WireGuard ufficiali. Istruzioni dettagliate e collegamenti per il download e l’installazione di WireGuard su tutto ciò che si trova a nord di un tostapane da cucina sono disponibili qui.

WireGuard ottiene un audit di terze parti, diventa 1.0.0

WireGuard stesso ottiene un aumento della versione alla 1.0.0 insieme alla sua inclusione nel nuovo kernel. Coloro che hanno familiarità con gli standard di controllo delle versioni open source probabilmente non erano poi così scoraggiati dalle precedenti versioni 0.8.xo 0.9.x, dopotutto, Dovecot è stato il server IMAP4 del mondo per anni su 0.4, ma la versione 1.x potrebbe lenire le preoccupazioni per persone manageriali o semplicemente meno esperte di Linux.

Ancora più importante, lo sviluppatore fondatore di WireGuard Jason Donenfeld ha commissionato un audit di sicurezza di terze parti della base di codice, che è risultato chiaro:

Sono stato un po’ nevrotico sull’avere una nave 5.6 senza alcun bug di stopper. WireGuard è stabile da molto tempo ormai, ma questo non mi rende meno nervoso per il vero affare della 5.6. A tal fine, ho svolto revisioni del codice e discusso, e abbiamo anche fatto verificare il codice da una società di sicurezza. Quell’audit non ha evidenziato alcuna vulnerabilità, ma ha fornito un buon suggerimento di difesa in profondità.

Cosa significa essere “in-tree”

WireGuard ora funzionerà come Loadable Kernel Module (LKM) o integrato in modo statico nel kernel stesso. Ma che sia statico o caricabile, sarà “in-tree”, il che significa che è fornito pronto per l’uso con il kernel di vaniglia stesso, senza bisogno di riconfezionare le varie distribuzioni. Questo lo mette sullo stesso piano degli altri driver supportati.

Annuncio

Il passaggio da LKM di terze parti a LKM di prima parte significa anche che non saranno più necessarie build di supporto per i moduli del kernel dinamico. DKMS è un framework conveniente che consente di ricostruire automaticamente un modulo del kernel dal sorgente rispetto a ogni nuovo kernel Linux installato, ma non è a prova di proiettile. Un utente con un solo computer potrebbe passare anni senza vedere un singhiozzo DKMS, ma un amministratore di sistema con decine di macchine e pacchetti DKMS di importanza critica dovrà probabilmente cercare un aggiornamento del kernel fallito una o due volte l’anno.

Le build DKMS aggiungono una notevole quantità di tempo extra agli aggiornamenti di routine del kernel anche quando vanno bene, poiché il sistema sta effettivamente ricompilando il codice sorgente stesso contro le intestazioni del nuovo kernel. Sebbene WireGuard sia un progetto relativamente piccolo e pulito, il tempo di costruzione di DKMS è generalmente nell’intervallo di “diversi minuti” anche su server relativamente veloci. Questo non era abbastanza tempo extra per essere un fattore importante negli aggiornamenti automatici, ma era abbastanza per causare un po’ di frustrazione nelle installazioni manuali e negli aggiornamenti.

Potrebbe non essere necessario attendere 5.6

Le distribuzioni in rapido movimento “all’avanguardia” come Arch, Gentoo, Fedora e Clear Linux si aggiorneranno molto rapidamente al nuovo kernel 5.6, ma le distribuzioni stabili come Ubuntu, Debian o CentOS rimarranno probabilmente sui kernel più vecchi per un anno o più .

Gli utenti Debian e Ubuntu, fortunatamente, non dovranno aspettare Linux 5.6. L’imminente Ubuntu Focal Fossa ha un WireGuard retroportato nel suo albero del kernel, quindi la necessità del WireGuard PPA dovrebbe finire presto per gli amministratori Ubuntu aggiornati. Sul lato Debian, il manutentore Ben Hutchings ha già effettuato un backport su Debian Buster.

Non c’è ancora una parola per gli utenti di CentOS, RHEL o SuSE, ma non saremmo sorpresi se più delle principali distribuzioni stabili iniziassero ad aggiungere il supporto ufficiale prima dell’aggiornamento a Linux 5.6.

Aggiornamento: questo articolo si riferiva originariamente e erroneamente al pacchetto Windows come “alpha”; è attualmente in versione beta e si avvicina alla qualità del rilascio. L’articolo è stato aggiornato per correggere l’errore.