Implementación RFC7217 (direcciones de privacidad estables) en Ubuntu 16.10

8

Soy el autor de IETF RFC7217, y estoy tratando de averiguar si Ubuntu 16.10 implementa soporte para RFC7217.

Parece que no hay soporte en la versión de NetworkManager que Ubuntu está usando, o dicho soporte está deshabilitado.

¿Puedes confirmar esto?

Además, ¿hay planes para cambiar el algoritmo predeterminado de generación de direcciones IPv6 del formato EUI-64 modificado (que incorpora direcciones MAC) al esquema RFC7217 con privacidad mejorada?

networking security ipv6 privacy ip-address Fernando Gont
fuente
2
Probablemente útil: bugs.launchpad.net/ubuntu/+source/procps/+bug/… (ver comentario # 24) y unix.stackexchange.com/a/255955/70524
muru

Respuestas:

2

Podría faltar algo, pero no veo nada en el registro de cambios que me indique que el soporte RFC7217 integrado en el administrador de red para Xenial se ha eliminado en Yakkety.

El 16.04 llego.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

En 16.10 obtengo:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

dado que la única diferencia que veo aquí es un cambio en el nombre de la NIC y, además, no parece haber ningún cambio en /proc/sys/net/ipv6/conf/all/stable_secretCreo que es lógico decir que Ubuntu 16.10 todavía implementa soporte para RFC7217. Si bien esto no está configurado de forma predeterminada de acuerdo con la documentación del núcleo

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

La investigación adicional indica que desde el lanzamiento de NetworkManager 1.0.4. las extensiones de privacidad están activadas de manera predeterminada y puede controlarlas con la propiedad ipv6.ip6-privacy.

Puede confirmar que la versión de su administrador de red instalado cumple o excede eso con el comandodpkg -l network-manager

Si alguien ha encontrado información en contrario, ¡envíeme un comentario ya que me interesaría verla!

Fuentes:

/unix/251401/cannot-read-key-net-ipv6-conf-all-stable-secret-in-sysctl/255955#255955

https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

https://blogs.gnome.org/lkundrak/2015/12/03/networkmanager-and-privacy-in-the-ipv6-internet/

http://changelogs.ubuntu.com/changelogs/pool/main/n/network-manager/network-manager_1.2.6-0ubuntu1/changelog

Elder Geek
fuente