Implementazione di RFC7217 (indirizzi di privacy stabili) in Ubuntu 16.10

8

Sono l'autore di IETF RFC7217 e sto cercando di capire se Ubuntu 16.10 implementa il supporto per RFC7217.

Sembra che non ci sia supporto nella versione di NetworkManager che Ubuntu sta usando o che tale supporto sia disabilitato.

Puoi confermare questo?

Inoltre, ci sono piani per cambiare l'algoritmo di generazione dell'indirizzo IPv6 predefinito dal formato EUI-64 modificato (che incorpora gli indirizzi MAC) allo schema RFC7217 con protezione della privacy?

networking  security  ipv6  privacy  ip-address 
Fernando Gont
fonte
2
muru

Risposte:

2

Potrei essere manca qualcosa, ma non vedo nulla nel changelog che indica a me che il supporto RFC7217 integrato nella network-manager per Xenial è stato rimosso in Yakkety.

Il 16.04 ottengo.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Il 16.10 ottengo:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

poiché l'unica differenza che vedo qui è un cambiamento nella denominazione per la NIC e inoltre non sembra esserci alcun cambiamento, /proc/sys/net/ipv6/conf/all/stable_secretpenso che sia logico dire che Ubuntu 16.10 implementa ancora il supporto per RFC7217. Mentre questo non è impostato di default secondo la documentazione del kernel

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

Ulteriori ricerche indicano che dal rilascio NetworkManager 1.0.4. le estensioni della privacy sono attivate per impostazione predefinita e puoi controllarle con la proprietà ipv6.ip6-privacy.

Puoi confermare che la versione del gestore di rete installato soddisfa o supera quella con il comandodpkg -l network-manager

Se qualcuno ha trovato informazioni contrarie, lasciami un commento perché sarei interessato a vederlo!

fonti:

/unix/251401/cannot-read-key-net-ipv6-conf-all-stable-secret-in-sysctl/255955#255955

https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

https://blogs.gnome.org/lkundrak/2015/12/03/networkmanager-and-privacy-in-the-ipv6-internet/

http://changelogs.ubuntu.com/changelogs/pool/main/n/network-manager/network-manager_1.2.6-0ubuntu1/changelog

Anziano Geek
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.