RFC7217 (adresses de confidentialité stables) dans Ubuntu 16.10

9

Je suis l'auteur de l'IETF RFC7217 et j'essaie de savoir si Ubuntu 16.10 prend en charge le support pour RFC7217.

Il semble qu'il n'y ait pas de support dans la version de NetworkManager qu'Ubuntu utilise ou qu'un tel support est désactivé.

Pouvez-vous confirmer cela?

En outre, prévoit-on de remplacer l’algorithme de génération d’adresses IPv6 par défaut du format EUI-64 modifié (qui incorpore les adresses MAC) par le schéma RFC7217 renforcé par la confidentialité?

    
posée Fernando Gont 07.02.2017 - 07:09
la source

1 réponse

2

Je pourrais manquer quelque chose mais je ne vois rien dans le changelog qui m'indique que le support RFC7217 intégré dans le gestionnaire de réseau pour Xenial a été supprimé dans Yakkety.

Le 16.04 je reçois.

sudo sysctl -a | grep stable_secret
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.eth0.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

Le 16.10, je reçois:

sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.enp0s3.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"

puisque la seule différence que je vois ici est un changement de nom pour la carte réseau et il ne semble pas y avoir de changement à /proc/sys/net/ipv6/conf/all/stable_secret . Je pense qu'il est logique de dire qu'Ubuntu 16.10 supporte toujours RFC7217. Bien que cela ne soit pas défini par défaut selon la documentation du noyau

stable_secret - IPv6 address
    This IPv6 address will be used as a secret to generate IPv6
    addresses for link-local addresses and autoconfigured
    ones. All addresses generated after setting this secret will
    be stable privacy ones by default. This can be changed via the
    addrgenmode ip-link. conf/default/stable_secret is used as the
    secret for the namespace, the interface specific ones can
    overwrite that. Writes to conf/all/stable_secret are refused.

    It is recommended to generate this secret during installation
    of a system and keep it stable after that.

D'autres recherches indiquent que depuis la publication NetworkManager 1.0.4. les extensions de confidentialité sont activées par défaut et vous pouvez les contrôler avec la propriété ipv6.ip6-privacy.

Vous pouvez confirmer que la version de votre gestionnaire de réseau installé respecte ou dépasse la commande dpkg -l network-manager

Si quelqu'un a trouvé des informations contraires, envoyez-moi un commentaire car je serais intéressé à le voir!

Sources:

lien

lien

lien

lien

    
réponse donnée Elder Geek 25.02.2017 - 18:06
la source

Lire d'autres questions sur les étiquettes