Implementacja RFC7217 (stabilne adresy prywatności) w Ubuntu 16.10

8

Jestem autorem IETF RFC7217 i próbuję dowiedzieć się, czy Ubuntu 16.10 implementuje obsługę RFC7217.

Wygląda na to, że nie ma obsługi w używanej wersji NetworkManager Ubuntu lub taka obsługa jest wyłączona.

Czy możesz to potwierdzić?

Poza tym, czy są jakieś plany zmiany domyślnego algorytmu generowania adresu IPv6 ze zmodyfikowanego formatu EUI-64 (który osadza adresy MAC) na schemat RFC7217 o podwyższonej prywatności?

networking security ipv6 privacy ip-address Fernando Gont
źródło
2
Prawdopodobnie przydatne: bugs.launchpad.net/ubuntu/+source/procps/+bug/… (patrz komentarz nr 24) i unix.stackexchange.com/a/255955/70524
muru

Odpowiedzi:

2

Mogłem coś przeoczyć, ale nie widzę niczego w dzienniku zmian, który wskazywałby mi, że obsługa RFC7217 zintegrowana z menedżerem sieci dla Xenial została usunięta w Yakkety.

W dniu 16.04 dostaję.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

16.10 otrzymuję:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

ponieważ jedyną różnicą, którą tu widzę, jest zmiana nazewnictwa karty sieciowej, a ponadto wydaje się, że nie ma żadnych zmian /proc/sys/net/ipv6/conf/all/stable_secret, myślę, że logiczne jest stwierdzenie, że Ubuntu 16.10 nadal implementuje obsługę RFC7217. Chociaż jest to domyślnie wyłączone zgodnie z dokumentacją jądra

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

Dalsze badania wskazują, że od wydania NetworkManager 1.0.4. rozszerzenia prywatności są domyślnie włączone i można je kontrolować za pomocą właściwości ipv6.ip6-privacy.

Możesz potwierdzić, że wersja zainstalowanego menedżera sieci spełnia lub przekracza tę wersję za pomocą poleceniadpkg -l network-manager

Jeśli ktoś znalazł informacje przeciwnie, napisz komentarz, ponieważ chciałbym go zobaczyć!

Źródła:

/unix/251401/cannot-read-key-net-ipv6-conf-all-stable-secret-in-sysctl/255955#255955

https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

https://blogs.gnome.org/lkundrak/2015/12/03/networkmanager-and-privacy-in-the-ipv6-internet/

http://changelogs.ubuntu.com/changelogs/pool/main/n/network-manager/network-manager_1.2.6-0ubuntu1/changelog

Starszy Geek
źródło