我们期待WireGuard加入主流Linux内核已经有一段时间了——但是截至周日下午,它已经正式发布了。Linus Torvalds发布了Linux 5.6内核,其中包括了一个树内线防护。Phoronix有一个很棒的简短列表,其中列出了5.6内核中最有趣的新特性,还有一个更长的“所有东西”列表,供那些希望确保自己不会遗漏任何东西的人使用。
如果这是您第一次听说WireGuard,那么TL;DR是一个相对较新的VPN(虚拟专用网络)应用程序,沐鸣开户测速它提供了更简洁的代码库、更简单的配置、更快的连接时间,以及最新的、经过同行彻底审查和批准的加密算法。你可以在我们2018年8月的报道中找到更详细的介绍。
我可以在Windows上使用这个吗?Mac ?BSD吗?安卓吗?IOS吗?
虽然WireGuard现在在Linux世界的版本是1.0.0,但它的Windows包是测试版的0.1.0;它增加了显著的性能、稳定性、本地化和可访问性特性,这是我们对旧版本的预览版的基础。
我们现在已经使用了相当多的Windows包,大多数用户会发现它非常有用,尽管它还处于测试阶段。如果您决定使用这些预发布的Windows版本,我们建议您定期跟踪WireGuard的新闻和更新。
Mac和BSD用户还没有一个内核选项WireGuard支持但可以运行从各自的语言实现repositories-pkg在FreeBSD安装WireGuard,酿造安装wireguard-tools,端口安装wireguard-tools,甚至从苹果商店本身在Mac上。
IOS用户可以在App Store中找到WireGuard,安卓用户可以在Play Store中找到,对于那些不喜欢使用谷歌的用户,也可以在F-Droid知识库中找到它。Android内核存储库中也有一个诱人的差异,暗示Android用户可能会在未来的Android版本中看到更新后的内核版本。
明智的做法是:第三方的WireGuard客户端也适用于这些平台,但我们建议坚持使用官方的WireGuard客户端。下载和安装WireGuard的详细说明和链接可以在这里找到。
WireGuard获得第三方审核,变为1.0.0
WireGuard本身的版本增加到了1.0.0,同时也加入了新内核。那些熟悉开源版本控制标准的人可能并没有因为它之前的0.8版本而感到沮丧。x或0.9。毕竟,Dovecot多年来一直是世界上使用0.4版本的IMAP4服务器,但现在是1版本。x版本控制可能会缓解管理人员或不太熟悉linux的人的顾虑。
更重要的是,WireGuard的创始开发者Jason Donenfeld委托第三方对代码库进行了安全审查,结果发现:
我有一点神经质的5.6船没有任何显示阻止bug。WireGuard已经稳定了很长一段时间了,但这并没有让我对5.6版本的真实版本不那么紧张。为此,沐鸣开户测速我一直在进行代码审查和讨论,我们还请了一家安全公司对代码进行审计。那次审计没有发现任何漏洞,但他们确实提出了一个很好的深度防御建议。
什么是"树内"
WireGuard现在可以作为可加载内核模块(LKM)运行,也可以静态地构建到内核中。但是,无论是静态的还是可加载的,它都是“树内的”——这意味着它已经准备好与普通内核一起使用,不需要通过各种发行版重新打包。这使得它与其他受支持的驱动程序处于相同的基础上。
从第三方到第一方LKM的转变也意味着不需要更多的动态内核模块支持构建。DKMS是一个方便的框架,它允许根据安装的每个新的Linux内核从源代码自动地重新构建内核模块,但它并不是无懈可击的。一个只有一台计算机的用户可能几年都看不到一个DKMS问题,但是一个拥有数十台机器和极其重要的DKMS包的系统管理员可能不得不每年检查一次或两次错误的内核升级。
DKMS构建为常规的内核升级增加了大量额外的时间,即使它们进展顺利,因为系统实际上是根据新内核的头文件重新编译源代码本身。虽然WireGuard是一个相对较小和干净的项目,但DKMS构建时间通常在“几分钟”范围内,即使在相对较快的服务器上也是如此。这并不足以成为自动升级的一个重要因素,但它足以导致手动安装和升级中的一些失败。
你可能不必等到5.6
像Arch、Gentoo、Fedora和Clear Linux这样快速移动的“前沿”发行版将很快升级到新的5.6内核,沐鸣开户测速但是像Ubuntu、Debian或CentOS这样稳定的发行版可能会在旧的内核上保留一年或更长时间。
幸运的是,Debian和Ubuntu用户不必等待Linux 5.6。即将发布的Ubuntu Focal Fossa在其内核树中有一个向后移植的WireGuard,因此对于最新的Ubuntu管理员来说,对WireGuard PPA的需求应该会很快结束。在Debian方面,维护者Ben Hutchings已经承诺支持Debian Buster。
目前还没有关于CentOS、RHEL或SuSE用户的消息,但是如果更多的主流稳定发行版在升级到Linux 5.6之前就开始添加官方支持,我们也不会感到惊讶。