Implémentation RFC7217 (adresses de confidentialité stables) dans Ubuntu 16.10

8

Je suis l'auteur de l'IETF RFC7217, et j'essaie de savoir si Ubuntu 16.10 implémente la prise en charge de RFC7217.

Il semble qu'il n'y ait pas de prise en charge dans la version de NetworkManager qu'Ubuntu utilise, ou cette prise en charge est désactivée.

Pouvez-vous le confirmer?

En outre, est-il prévu de changer l'algorithme de génération d'adresse IPv6 par défaut du format EUI-64 modifié (qui incorpore les adresses MAC) au schéma RFC7217 à confidentialité accrue?

networking  security  ipv6  privacy  ip-address 
Fernando Gont
source
2
muru le

Réponses:

2

Je ne pouvais manquer quelque chose , mais je ne vois rien dans le changelog qui me indique que le support de RFC7217 intégré dans le réseau gestionnaire pour Xenial a été supprimée dans Yakkety.

Le 16.04 je reçois.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Le 16.10 je reçois:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

car la seule différence que je vois ici est un changement de nom pour la carte réseau et en outre il ne semble pas y avoir de changement à /proc/sys/net/ipv6/conf/all/stable_secretje pense qu'il est logique de dire qu'Ubuntu 16.10 implémente toujours le support de RFC7217. Bien que cela ne soit pas défini par défaut selon la documentation du noyau

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

Des recherches plus poussées indiquent que depuis la sortie de NetworkManager 1.0.4. les extensions de confidentialité sont activées par défaut et vous pouvez les contrôler avec la propriété ipv6.ip6-privacy.

Vous pouvez confirmer que la version de votre gestionnaire de réseau installé correspond ou dépasse celle avec la commandedpkg -l network-manager

Si quelqu'un a trouvé des informations contraires, envoyez-moi un commentaire car je serais intéressé de les voir!

Sources:

/unix/251401/cannot-read-key-net-ipv6-conf-all-stable-secret-in-sysctl/255955#255955

https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt

https://blogs.gnome.org/lkundrak/2015/12/03/networkmanager-and-privacy-in-the-ipv6-internet/

http://changelogs.ubuntu.com/changelogs/pool/main/n/network-manager/network-manager_1.2.6-0ubuntu1/changelog

Elder Geek
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.