Implementierung von RFC7217 (stabile Datenschutzadressen) in Ubuntu 16.10

8

Ich bin der Autor von IETF RFC7217 und versuche herauszufinden, ob Ubuntu 16.10 die Unterstützung für RFC7217 implementiert.

Es scheint, dass die von Ubuntu verwendete Version von NetworkManager keine Unterstützung bietet oder diese Unterstützung deaktiviert ist.

Können Sie das bestätigen?

Gibt es außerdem Pläne, den Standardalgorithmus zur IPv6-Adressgenerierung vom modifizierten EUI-64-Format (das MAC-Adressen einbettet) in das datenschutzverbesserte RFC7217-Schema zu ändern?

Fernando Gont
quelle
2
Wahrscheinlich nützlich: bugs.launchpad.net/ubuntu/+source/procps/+bug/… (siehe Kommentar Nr. 24) und unix.stackexchange.com/a/255955/70524
muru

Antworten:

2

Möglicherweise fehlt mir etwas, aber im Änderungsprotokoll wird nichts angezeigt, was darauf hinweist, dass die im Netzwerkmanager für Xenial integrierte RFC7217-Unterstützung in Yakkety entfernt wurde.

Am 16.04 bekomme ich.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Am 16.10 bekomme ich:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Da der einzige Unterschied, den ich hier sehe, eine Änderung in der Benennung der Netzwerkkarte ist und es darüber hinaus keine Änderung zu geben scheint, /proc/sys/net/ipv6/conf/all/stable_secrethalte ich es für logisch zu sagen, dass Ubuntu 16.10 weiterhin die Unterstützung für RFC7217 implementiert. Dies ist laut Kernel-Dokumentation standardmäßig deaktiviert

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

Weitere Untersuchungen zeigen, dass seit der Veröffentlichung NetworkManager 1.0.4. Die Datenschutzerweiterungen sind standardmäßig aktiviert und können mit der Eigenschaft ipv6.ip6-privacy gesteuert werden.

Sie können mit dem Befehl bestätigen, dass die Version Ihres installierten Netzwerkmanagers diese erfüllt oder übertrifftdpkg -l network-manager

Wenn jemand gegenteilige Informationen gefunden hat, schreibe mir einen Kommentar, da ich daran interessiert wäre, ihn zu sehen!

Quellen:

/unix/251401/cannot-read-key-net-ipv6-conf-all-stable-secret-in-sysctl/255955#255955

https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

https://blogs.gnome.org/lkundrak/2015/12/03/networkmanager-and-privacy-in-the-ipv6-internet/

http://changelogs.ubuntu.com/changelogs/pool/main/n/network-manager/network-manager_1.2.6-0ubuntu1/changelog

Elder Geek
quelle