Triển khai RFC7217 (địa chỉ bảo mật ổn định) trong Ubuntu 16.10

8

Tôi là tác giả của IETF RFC7217 và tôi đang cố gắng tìm hiểu xem Ubuntu 16.10 có triển khai hỗ trợ cho RFC7217 hay không.

Có vẻ như không có hỗ trợ nào trong phiên bản NetworkManager Ubuntu đang sử dụng hoặc hỗ trợ đó bị vô hiệu hóa.

Bạn có thể xác nhận điều này?

Ngoài ra, có kế hoạch nào để thay đổi thuật toán tạo địa chỉ IPv6 mặc định từ định dạng EUI-64 đã sửa đổi (nhúng địa chỉ MAC) sang sơ đồ RFC7217 được tăng cường bảo mật không?

networking  security  ipv6  privacy  ip-address 
Fernando Gont
nguồn
2
muru

Câu trả lời:

2

Tôi có thể thiếu thứ gì đó nhưng tôi không thấy bất cứ điều gì trong danh sách thay đổi cho tôi biết rằng hỗ trợ RFC7217 được tích hợp vào trình quản lý mạng cho Xenial đã bị xóa trong Yakkety.

Ngày 16.04 tôi nhận được.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Vào ngày 16.10 tôi nhận được:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

vì sự khác biệt duy nhất tôi thấy ở đây là một sự thay đổi trong cách đặt tên cho NIC và hơn nữa dường như không có bất kỳ thay đổi nào ở /proc/sys/net/ipv6/conf/all/stable_secrettôi nghĩ rằng thật hợp lý khi nói Ubuntu 16.10 vẫn thực hiện hỗ trợ cho RFC7217. Mặc dù điều này không được đặt theo mặc định theo tài liệu kernel

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

Nghiên cứu sâu hơn chỉ ra rằng kể từ khi phát hành NetworkManager 1.0.4. các tiện ích mở rộng quyền riêng tư được bật theo mặc định và bạn có thể kiểm soát chúng bằng thuộc tính riêng tư ipv6.ip6.

Bạn có thể xác nhận rằng phiên bản của trình quản lý mạng đã cài đặt của bạn đáp ứng hoặc vượt quá phiên bản đó bằng lệnhdpkg -l network-manager

Nếu bất cứ ai đã tìm thấy thông tin ngược lại, hãy gửi cho tôi một bình luận vì tôi muốn thấy nó!

Nguồn:

/unix/251401/cannot-read-key-net-ipv6-conf-all-urdy-secret-in-sysctl/255955#255955

https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

https://bloss.gnome.org/lkundrak/2015/12/03/networkmanager-and-privacy-in-the-ipv6-iNET/

http://changelogs.ubfox.com/changelogs/pool/main/n/network-manager/network-manager_1.2.6-0ubfox1/changelog

Trưởng lão
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.