implementação do RFC7217 (endereços de privacidade estáveis) no Ubuntu 16.10

9

Sou o autor do IETF RFC7217 e estou tentando descobrir se o Ubuntu 16.10 implementa suporte para o RFC7217.

Parece que não há suporte na versão do NetworkManager que o Ubuntu está usando, ou esse suporte está desativado.

Você pode confirmar isso?

Além disso, há algum plano para alterar o algoritmo de geração de endereços IPv6 padrão do formato EUI-64 Modificado (que incorpora endereços MAC) para o esquema RFC7217 aprimorado para privacidade?

    
por Fernando Gont 07.02.2017 / 07:09

1 resposta

2

Eu poderia estar perdendo alguma coisa, mas não vejo nada no changelog que indica para mim que o suporte a RFC7217 integrado ao gerenciador de rede para o Xenial foi removido no Yakkety.

Em 16.04 eu recebo.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Em 16.10 eu recebo:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

desde que a única diferença que vejo aqui é uma mudança na nomenclatura para o NIC e além disso não parece haver nenhuma alteração em /proc/sys/net/ipv6/conf/all/stable_secret Acho que é lógico dizer que o Ubuntu 16.10 ainda implementa suporte para o RFC7217. Embora isso não seja definido por padrão de acordo com a documentação do kernel

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

Outras pesquisas indicam que desde o lançamento do NetworkManager 1.0.4. as extensões de privacidade são ativadas por padrão e você pode controlá-las com a propriedade ipv6.ip6-privacy.

Você pode confirmar que a versão do seu gerenciador de rede instalado atenda ou exceda isso com o comando dpkg -l network-manager

Se alguém encontrou informações em contrário, envie-me um comentário, pois eu estaria interessado em vê-lo!

Fontes:

link

link

link

link

    
por Elder Geek 25.02.2017 / 18:06