Implementasi RFC7217 (alamat privasi stabil) di Ubuntu 16.10

8

Saya penulis IETF RFC7217, dan saya mencoba mencari tahu apakah Ubuntu 16.10 menerapkan dukungan untuk RFC7217.

Tampaknya tidak ada dukungan dalam versi yang digunakan NetworkManager Ubuntu, atau dukungan semacam itu dinonaktifkan.

Bisakah Anda mengkonfirmasi ini?

Selain itu, apakah ada rencana untuk mengubah algoritma pembuatan alamat IPv6 default dari format EUI-64 yang Dimodifikasi (yang menyematkan alamat MAC) ke skema RFC7217 yang ditingkatkan privasi?

networking security ipv6 privacy ip-address Fernando Gont
sumber
2
Mungkin bermanfaat: bugs.launchpad.net/ubuntu/+source/procps/+bug/… (lihat komentar # 24) dan unix.stackexchange.com/a/255955/70524
muru

Jawaban:

2

Saya mungkin kehilangan sesuatu tetapi saya tidak melihat apa pun di changelog yang menunjukkan kepada saya bahwa dukungan RFC7217 yang diintegrasikan ke dalam network-manager untuk Xenial telah dihapus di Yakkety.

Pada 16,04 saya dapatkan.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Pada 16.10 saya mendapatkan:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

karena satu-satunya perbedaan yang saya lihat di sini adalah perubahan dalam penamaan untuk NIC dan lebih lanjut tampaknya tidak ada perubahan pada /proc/sys/net/ipv6/conf/all/stable_secretSaya pikir itu logis untuk mengatakan Ubuntu 16.10 masih mengimplementasikan dukungan untuk RFC7217. Meskipun ini tidak disetel secara default sesuai dengan dokumentasi kernel

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

Penelitian lebih lanjut menunjukkan bahwa sejak rilis NetworkManager 1.0.4. ekstensi privasi dihidupkan secara default dan Anda dapat mengontrolnya dengan properti ipv6.ip6-privacy.

Anda dapat mengonfirmasi bahwa versi manajer jaringan yang Anda instal memenuhi atau melampaui itu dengan perintahdpkg -l network-manager

Jika ada yang menemukan informasi yang bertentangan, berikan saya komentar karena saya akan tertarik melihatnya!

Sumber:

/unix/251401/cannot-read-key-net-ipv6-conf-all-stable-secret-in-sysctl/255955#255955

https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

https://blogs.gnome.org/lkundrak/2015/12/03/networkmanager-and-privacy-in-the-ipv6-internet/

http://changelogs.ubuntu.com/changelogs/pool/main/n/network-manager/network-manager_1.2.6-0ubuntu1/changelog

Penatua Geek
sumber