[ipv6-tf] Linux i problem z privacy extensions
Lukasz Stelmach
stlman w poczta.fm
Sob, 12 Mar 2011, 23:30:53 CET
W dniu 08.03.2011 09:06, Adam Osuchowski pisze:
> Lukasz Stelmach wrote:
>> Te uzyskane z RA są tak samo dobre. Nikt nie przekłada codziennie
>> kart sieciowych i nie zmienia im adresu MAC. Weź pod uwagę
>> scenariusz, w którym masz klaster do uruchomienia i udaje się
>> obejść bez DHCP (całkiem realny scenariusz).
>
> Ok, ja nie twierdzę, że autokonfiguracja jest zła, tylko po prostu nie
> chcę ujawniać całemu światu mojego adresu MAC.
Jedynym* sposobem ujawnienia światu twojego adresu jest nawiązanie
połączenia z niego. Jeżeli zatem ustawisz use_temp_addr na coś
większego od 1 system będzie używał adresów losowych jako źródłowych.
* Drugim sposobem jest przesłąnie go w warstwie aplikacji np. przez
jakiś program P2P.
> Niech to będzie jakaś
> stała pseudo-losowa wartość nie będąca wprost z nim skorelowana.
> Myślałem na początku, że adresy tymczasowe załatwią sprawę, ale jak widać,
> nie załatwią bo w zasadzie są do czego innego. Dlatego też ponawiam pytanie,
> czy da się w Linuksie w jakiś sposób generować sufiksy do adresów
> z autokonfiguracji inne niż z EUI-64?
Na pierwszy, rzut oka nie. Wybacz moją tempotę ale w czym miałoby (poza
aplikacjami przesyłającymi adresy w "danych") przeszkadzać istnienie
MAC-opochodnych adresów, jeżeli do nawiązywania połączeń używane by były
te losowe?
>> A jak wyglądają valid_lft i preferred_lft?
>
> Dla tymczasowych dynamicznych:
>
> valid_lft 604793sec preferred_lft 85793sec
>
> Dla dynamicznych:
>
> valid_lft 2591993sec preferred_lft 604793sec
>
> Ok, są duże, ale to nie jest jest jeszcze powód, żeby dokładać drugi adres,
> a jak już, to pierwszy usunąć.
Faktyczni dziwne. Nowy adres jest u mnie dokładany gdy poprzedniemu
wyczerpie się preferred_lft. Gdy wyczerpie się valid_lft, adres jest
usuwany. Jaka wersja jądra?
>> A mógłbyś przybliżyć bo w Windows się nigdy nie przyglądałem
>> jak to działa.
>
> Ta komenda, którą napisałem w poprzednim mailu zmienia sposób ustalania
> sufiksu adresów z autokonfiguracji.
> Teraz zauważyłem, że Windowsy też czasami tworzą więcej niż jeden adres
> tymczasowy, ale nie doszedłem jeszcze do tego kiedy i na jakiej podstawie.
Nie wczytywałem się w RFC3041 ale widzę w nim "Valid Lifetime"
i "Preferred Lifetime". Skoro zatem Linux (i prawdopodobnie Windows)
implementuje opisany w tym dokumencie mechanizm to być może tam
znajdziesz dokładne wytłumaczenie.
>> Efekt był (właśnie sprawdzam czy jeszcze jest) taki, że po jednym
>> czy dwóch cyklach losowe adresy przestawały być generowane.
>
> Cyklach timeoutu adresu czy zdejmowania ich z interfejsu?
Timeoutu.
--
Było mi bardzo miło. Czwarta pospolita klęska, [...]
>Łukasz< Już nie katolicka lecz złodziejska. (c)PP
---------------------------------------------------------------
Wszystko o szokujacym wypadku Roberta Kubicy!
Sprawdz >>> http://linkint.pl/f2916
Więcej informacji o liście ipv6-tf