Implementação de RFC7217 (endereços de privacidade estáveis) no Ubuntu 16.10

8

Eu sou o autor do IETF RFC7217 e estou tentando descobrir se o Ubuntu 16.10 implementa o suporte ao RFC7217.

Parece que não há suporte na versão do NetworkManager que o Ubuntu está usando, ou esse suporte está desativado.

Você pode confirmar isso?

Além disso, existem planos para alterar o algoritmo padrão de geração de endereços IPv6 do formato EUI-64 modificado (que incorpora endereços MAC) para o esquema RFC7217 com privacidade aprimorada?

networking security ipv6 privacy ip-address Fernando Gont
fonte
2
Provavelmente útil: bugs.launchpad.net/ubuntu/+source/procps/+bug/… (veja o comentário # 24) e unix.stackexchange.com/a/255955/70524
muru

Respostas:

2

Poderia estar faltando alguma coisa, mas não vejo nada no log de alterações que me indique que o suporte RFC7217 integrado ao gerenciador de rede do Xenial foi removido no Yakkety.

Em 16.04 eu recebo.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Em 16,10, recebo:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

já que a única diferença que vejo aqui é uma alteração na nomenclatura da NIC e, além disso, não parece haver nenhuma alteração, /proc/sys/net/ipv6/conf/all/stable_secretacho lógico dizer que o Ubuntu 16.10 ainda implementa o suporte ao RFC7217. Embora isso esteja desabilitado por padrão, de acordo com a documentação do kernel

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

Pesquisas adicionais indicam que, desde o lançamento do NetworkManager 1.0.4. as extensões de privacidade estão ativadas por padrão e você pode controlá-las com a propriedade ipv6.ip6-privacy.

Você pode confirmar que a versão do seu gerenciador de rede instalado atende ou excede a versão com o comandodpkg -l network-manager

Se alguém encontrou informações em contrário, envie-me um comentário, pois eu estaria interessado em vê-las!

Fontes:

/unix/251401/cannot-read-key-net-ipv6-conf-all-stable-secret-in-sysctl/255955#255955

https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

https://blogs.gnome.org/lkundrak/2015/12/03/networkmanager-and-privacy-in-the-ipv6-internet/

http://changelogs.ubuntu.com/changelogs/pool/main/n/network-manager/network-manager_1.2.6-0ubuntu1/changelog

Elder Geek
fonte