Turris OS 5.2

26. května 2021

Turris OS

Co přináší nová verze Turris OS 5.2.0?

V nově vydané verzi operačního systému Turris OS 5.2.0 najdete přehled webového rozhraní reForis, kde je možné zjistit, zda máte aktivované automatické aktualizace, sběr dat, dynamický firewall, test připojení společně s testem konektivity NetMetr, ale také je zde vidět přidané OpenVPN klienty pro připojení k jinému OpenVPN serveru. Dále jsme se, na základě zpětné vazby, zaměřili na chybějící funkce. V novém webovém rozhraní reForis nyní najdete záložku uložiště, možnost továrního nastavení a přidaní registračního tokenu pro službu Honeypot as a Service, které nám chyběli v původním rozhraní. Vylepšili jsme také kabát rozcestníku WebApps a přidali možnost si nakonfigurovat si router pomocí USB flash disku. To se hodí v případě, kdy zařízení nemá ethernetový port.

reForis

Webové rozhraní reForis používá moderní open-source technologie jako je Bootstrap, React a Flask. Tyto technologie nám umožňují mít responsivní vzhled, ale také snadněji udržovat rozhraní do budoucna. Bohužel nebylo možné snadno převzít již existující front-endové části z původního rozhraní Foris a přizpůsobit je pro nové technologie. Rozhodli jsme se proto využít příležitosti a začít s čistým štítem.

V reForisu je nyní možné najít záložku Úložiště a záložku pro Honeypot as a Service. V záložce Správa najdete možnost nastavit název zařízení a v menu Údržba najdete možnost provedení továrního nastavení. Také jsme přepracovali část, která se týká diagnostik, aby byla přehlednější a poskytovala informace o jednotlivých diagnostických modulech. Navíc se nám obohatil seznam balíčků o dvě nové položky – RIPE Atlas SW Probe a seznam známých hesel, které je možné si nainstalovat v záložce Aktualizace.

Přehled

Po přihlášení do webového rozhraní reForis uvidíte zda máte aktivované či deaktivované automatické aktualizace, sběr dat a dynamický firewall. Dále zde najdete test připojení k Internetu pomocí IPv4 a IPv6, rychlost stahování a nahrávání z nástroje pro měření rychlosti připojení k Internetu NetMetr.cz a přidané OpenVPN klienty pro připojení k jinému OpenVPN serveru.
 

Náhled přehledu

Obrázek - Náhled přehledu

Záložka úložiště

této záložce si můžete nastavit externí úložiště, kterým může být USB flash disk, připojený SSD disk do USB portu nebo také mSATA SSD disk. Nastavte ho vždy pokud používáte balíčky, které jsou označeny štítkem Externí úložiště. Je možné je najít například u LXC kontejnerů, Nextcloudu a jiných náročných aplikací na I/O.

Zvolené externí zařízení bude používat Btrfs jako souborový systém a přesune existující složku „/srv“ z interního úložiště na externí.

Nově v reForisu můžete nastavit redundanci dat (RAID) a používat již existující externí uložiště se souborovým systémem Btrfs v případě jako je tovární nastavení.

Na následujících snímcích lze porovnat původní záložku Úložiště ve Forisu a nynější podobu v reForisu.

Obrázek - Nastavený storage plugin ve verzi reForis 1.0.3

Obrázek - Storage plugin ve Forisu pro srovnání

V této verzi Turris OS jsme také přidali možnost přesunout systémový log z operační paměti (RAM) na externí úložiště. V případě restartu zařízení docházelo k nenávratnému smazání souborů umístěných v RAM.

Záložka Honeypot as a Service (HaaS)

Sdružení CZ.NIC provozuje veřejnou službu Honeypot as a Service (HaaS) a nasbíraná data zpracovává národní bezpečnostní tým CSIRT.CZ. HaaS je možné používat na serveru, případně na počítači, který má veřejnou IPv4 adresu. Není nutné mít router Turris. Stačí se přihlásit pomocí mojeID, případně se zaregistrovat a postupovat dle návodu.

Uživatelům routeru Turris jsme jednotlivé kroky zjednodušili. Je třeba v záložce Aktualizace zvolit a nainstalovat package list SSH honeypot. Následně se v menu Sentinel objeví záložka HaaS, kde lze vložit identifikační token. Ten se dá získat na webové stránce Honeypot as a Service po přihlášení a registraci zařízení.

Obrázek - Formulář pro vložení tokenu ve webovém rozhraní reForis

Po vložení identifikačního tokenu ho uložte. Jakmile někdo zaútočí na veřejně dostupné SSH na routeru následně se na webové stránce Honeypot as a Service zobrazí informace o útoku, tj. z které IP adresy se útočník snažil připojit, jaké přihlašovací údaje k tomu použil a které příkazy prováděl.

Tovární nastavení

Z webového rozhraní reForis lze nyní provést tovární nastavení, které se může hodit, když budete chtít nastavit router úplně od začátku. Dojde k odstranění všech balíčku a souborů a router se vrátí do výchozího nastavení odpovídajícímu okamžiku vybalení z krabice. Při provádění továrního nastavení se vás webové rozhraní zeptá, zda jej chcete doopravdy provést, abychom zamezili nechtěným kliknutím.

Obrázek - Údržba – Tovární nastavení

Nové položky – RIPE Atlas SW Probe a nejčastěji používaná hesla

V záložce Balíčky nyní můžete najít dva nové seznamy balíčků – RIPE Atlas SW Probe a nejčastěji používaná hesla.

  1. RIPE Atlas SW Probe je vyvíjen nezávislým regionálním internetovým registrem RIPE NCC. Zapojit se do platformy RIPE Atlas, která se zabývá měřením připojení k Internetu a dosažitelnosti v reálném čase, může bezplatně úplně každý. Platformu si představíme podrobněji v samostatném článku zde na blogu společně s návodem jak zapojit router Turris, protože je nutné používat příkazovou řádku pro získání a vygenerování veřejného SSH klíče, který je potřeba zadat při registraci do databáze RIPE Atlas. Zkušení uživatele se mohou podívat do naší dokumentace.

  2. Nejčastěji používaná hesla
    Z nasbíraných dat z HaaS jsme vytvořili seznam nejčastějších hesel, které používají útočníci pro přihlášení na SSH. Po nainstalování tohoto seznamu balíčků se při změně hesla v reForisu, pokud bylo použité velmi slabé heslo, objeví upozornění, že se jedná o heslo, které není důvěryhodné, a je potřeba nastavit nové a bezpečnější heslo. Tuto funkci je možné prozatím použit pouze při změně hesla. Výjimkou je zařízení Turris Shield, kde je tato funkce předinstalovaná a je součástí prvotního nastavení. V dalších verzích bychom rádi na seznam přidali také nasbíraná hesla z minipotů.

Obrázek - Náhled při uložení velmi používaného hesla

Záložka diagnostiky

Diagnostiky nám pomáhají při řešení problémů, se kterými se uživatelé setkávají a konzultují je s technickou podporou. Podívali jsme se na možnosti zpřehlednění diagnostik. Na následujících screenshotech můžete posoudit, zda se nám to povedlo.

Obrázek - reForis 1.0.3 Obrázek - reForis 0.9.5 Obrázek - Foris verze 101.1.1

WebApps

Rozcestník webových rozhraní je v novém responsivním vzhledu s možností si nastavit tmavý vzhled.

Obrázek - Původní webapps, které najdete ve verzích Turris OS 5.1.x

Obrázek - Nová verze WebApps

Známá miniPCIe a USB zařízení

Připravili jsme si pro vás jednu novinku, která by měla usnadnit připojení známých USB a miniPCIe zařízení, jenž jsou trvale připojené k routeru jako třeba Wi-Fi karty, LTE modemy. Pokud je zařízení uvedené v našem seznamu na GitLabu pro miniPCIe a USB zařízení, tak dojde k automatické instalaci potřebných ovladačů jen pokud je router připojen k Internetu. Pro přidání zařízení je potřeba znát vendor ID, device/product ID a které ovladače zařízení vyžaduje.

Konfigurace routeru na zařízení bez Ethernetového portu

V současné době notebooky běžně nemají ethernetový port a pro nastavení routeru je nutné si pořídit redukci. Proto jsme se rozhodli jít uživatelům naproti a poskytnout jim možnost nakonfigurovat heslo do reForise společně s heslem pro Wi-Fi pomocí souboru medkit-config.json. Následně lze tento soubor umístit do kořenového adresáře USB flash disku, kde by se měl nacházet medkit, pokud je tovární verze systému nižší než Turris OS 5.2.0. Pomocí rescue režimu je možné nahrát nový medkit.

Jak by měl vypadat syntax formátu JSON se dočtete v dokumentaci.

Poděkování testerům

Rádi bychom poděkovali všem uživatelům routerů Turris, kteří se aktivně podíleli na testování nové verze a pomáhali nám s odhalováním chyb při používání různých konfigurací routeru.
Doufáme, že se vám nové funkce líbí a pokud se s námi budete chtít podělit o své zkušenosti na komunitním fóru, budeme jen rádi.