Реализация RFC7217 (стабильные адреса конфиденциальности) в Ubuntu 16.10 - proUbuntu
8 голосов
/

Я являюсь автором IETF RFC7217 и пытаюсь выяснить, реализует ли Ubuntu 16.10 поддержку RFC7217.

Похоже, что нет поддержки в версии NetworkManager, которую использует Ubuntu, или такая поддержка отключена.

Можете ли вы подтвердить это?

Кроме того, планируется ли изменить алгоритм генерации IPv6-адреса по умолчанию с модифицированного формата EUI-64 (который включает MAC-адреса) на схему RFC7217 с повышенной конфиденциальностью?

1 Ответ

2 голосов
/

Я мог что-то упустить, но я ничего не вижу в changelog , который указывает мне, что поддержка RFC7217, интегрированная в сетевой менеджер для Xenial, была удалена в Yakkety.

16.04 получаю.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

16.10 получаю:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

, поскольку единственное отличие, которое я вижу здесь, - это изменение именования для сетевой карты, и, кроме того, на * 1011 изменений, похоже, не будет. Я думаю, логично сказать, что Ubuntu 16.10 по-прежнему поддерживает RFC7217. Хотя это не установлено по умолчанию в соответствии с документацией ядра

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

Дальнейшие исследования показывают, что с момента выпуска NetworkManager 1.0.4. расширения конфиденциальности включены по умолчанию, и вы можете управлять ими с помощью свойства ipv6.ip6-privacy.

Вы можете подтвердить, что версия установленного вами сетевого администратора соответствует или превышает версию с помощью команды dpkg -l network-manager

Если кто-то нашел информацию об обратном, напишите мне, потому что мне было бы интересно ее увидеть!

Источники:

https://unix.stackexchange.com/questions/251401/cannot-read-key-net-ipv6-conf-all-stable-secret-in-sysctl/255955#255955

https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

https://blogs.gnome.org/lkundrak/2015/12/03/networkmanager-and-privacy-in-the-ipv6-internet/

http://changelogs.ubuntu.com/changelogs/pool/main/n/network-manager/network-manager_1.2.6-0ubuntu1/changelog

...