Доверяй, но проверяй

[dartraiden]

Вообще, ни одна прошивка не предложит вам самую распоследнюю версию ядра. Если только у вас не мини-пк в роли роутера, на который вы накатили условный Arch Linux.

В самом лучшем случае, там будет LTS-ядро. В большинстве случаев будет старое ядро с точечными исправлениями уязвимостей.

Даже OpenWrt не предлагает свежайшее ядро 6.2. В актуальной прошивке у них ядро 5.10, в который они втащили беспроводной стек из ядра 5.15. Переходить на не-LTS ядра и регулярно обновлять их — утонешь в регрессиях.

[avacha]

Согасен. И добавлю по микротику. Напрямую посмотреть версию ядра Linux в RouterOS с ходу не нашел как, обходной путь для устройств с USB: /system resource usb print

для ROS 6.49.7

0 1-0 Linux 3.3.5 xhci-hcd xHCI Host Controller 480

А с версии 7.1 вроде бы 5.6.3:

What's new in 7.1 (2021-Dec-01 16:07):

MAJOR CHANGES
----------------------
!) updated Linux Kernel based on version 5.6.3;

у меня под рукой нет устройства с 7-й RouterOS, у кого есть возможность - проверьте, пожалуйста.

[dartraiden]

К слову, актуальные версии KeeneticOS (3.9.x) — на Linux 4.9, поддержка которого прекращена 7 января.

[Cubus]

>Я слышал о двух таких

OPNsense ещё есть, они вроде даже девайсы продают.

[werter_l]

pfsense для x98

opnsense для x86 и arm

opnsense для arm (NanoPi, Rock-Pi, Helios64) https://personalbsd.org/?page_id=2 , https://yrzr.tk/opnsense-22-for-aarch64/

[FGTS45]

Хорошая статья, информация изложена доходчиво, продолжайте в том же духе !

[alexkuzko]

А когда это микротик открыл свои исходники?.. По ссылке просто набор разных скриптов и утилит (хотя посмотрел я только первую дюжину).

[danilbal]

А отчего показатель защищенности и безопасности именно ядро? Большинство ошибок и уязвимостей для роутеров исправляются не там вовсе, а скорее в настройках SSH/web и служб. Причем, как правило, в такого рода устройствах эксплуатировать уязвимости именно в ядре - и не так просто. Зато забытый кем-то когда-то telnet на WAN интерфейсе - встречается :)

[Psychosynthesis]

Я вот тоже вообще не очень понял такого внимания к версии ядра.

Если модель вышла, условно, пять лет назад, производителю надо было под каждую новую версию чтоли всё тестировать? Там вообще-то всякие разные глюки бывают, например, если я правильно помню, был случай, когда новая версия ядра плохо работала или вообще не работала с некоторыми wi-fi чипами от intel...

А если у производителя в год по пять моделей выходит, ему ещё надо целый отдел нанять чтоб они чисто обновлением прошивок занимались.

[Chillingwilli]

Статья на уровне, всё понятно разъяснили.

[justmamont]

когда то я тоже гонялся за "циферками", чтобы были самые-самые последние, потом пришло понимание - ваще не важно что версия не самая последния, лишь бы исправляли уязвимости, можно сидеть на дебиане, а можно на арче, so what!?