sysctl에서 'net.ipv6.conf.all.stable_secret' 키를 읽을 수 없습니까?

sysctl에서 'net.ipv6.conf.all.stable_secret' 키를 읽을 수 없습니까?

내 Arch Linux 시스템에서 실행 중인 커널 버전은 다음과 같습니다.

[root@router ~ ]$ uname -a
Linux router 4.2.5-1-ARCH #1 SMP PREEMPT Tue Oct 27 08:13:28 CET 2015 

sysctl -agrep 명령을 파이프할 때마다 다음 메시지가 표시되는 것을 확인했습니다.

[root@router ~ ]$ sysctl -a | grep no_meaning
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
...

다음 파일에 대해 cat을 실행하세요.

[root@router ~ ]$ cat /proc/sys/net/ipv6/conf/all/stable_secret 
cat: /proc/sys/net/ipv6/conf/all/stable_secret: Input/output error
[root@router ~ ]$ ls -hl /proc/sys/net/ipv6/conf/all/stable_secret 
-rw------- 1 root root 0 Dec 24 14:57 /proc/sys/net/ipv6/conf/all/stable_secret

지금까지 어떤 부작용도 본 적이 없지만 이것이 정상적인 것인지, 구체적으로 stable_secret이 키들의 기능은 무엇인지 궁금합니다. 미리 감사드립니다.

답변1

이는 RFC 7217 주소를 지원하기 위한 것입니다.

sysctl 변수에는 stable_secret다음과 같은 안정적인 인터페이스 식별자(일반적으로 IPv6 주소의 하위 64비트)를 생성하기 위한 비밀이 포함되어 있습니다.RFC 7217, "IPv6 SLAAC(Stateless Address Autoconfiguration)를 사용하여 의미상 불투명한 인터페이스 식별자를 생성하는 방법입니다."

RFC는 MAC 주소를 포함하지 않는 IPv6 네트워크에서 IID(인터페이스 식별자)를 정의하는 방법을 다음과 같이 설명합니다.RFC 4862SLAAC 주소는 변경되지만 이 시간에 변경되지는 않습니다.RFC 4941개인 주소도 가능합니다. 이 IID는 키와 네트워크 접두사를 포함한 기타 정보를 사용하여 생성되어야 합니다. 따라서 IID는 한 서브넷에서는 안정적이지만 다른 접두사(및 다른 키 및 기타 구성 요소)가 있는 다른 서브넷에서는 다릅니다. 이를 통해 다른 네트워크를 로밍할 때 노드가 추적되는 것을 방지하여 개인 정보 보호가 향상되지만 각 네트워크 내에서 노드를 더 쉽게 관리할 수 있습니다.

RFC에서:

      열쇠:
          공격자는 비밀 키를 알 수 없습니다. 비밀
          키는 128비트 이상이어야 합니다. 다음으로 초기화해야 합니다.
          의사 난수(임의성은 [RFC4086] 참조)
          보안 요구 사항) 운영 체제가
          설치 또는 IPv6 스택이 "부팅"되는 경우
          첫 번째. 구현은 메소드를 제공할 수 있습니다.
          시스템 관리자가 비밀을 표시하고 변경하려면
          열쇠.

변수 설명커널 문서에서:

stable_secret - IPv6 주소
    이 IPv6 주소는 IPv6 생성을 위한 비밀번호로 사용됩니다.
    링크 로컬 주소 및 자동 구성 주소
    그것들. 이 비밀번호를 설정한 후 생성된 모든 주소는
    기본값은 안정적인 개인 정보 보호입니다. 이는 다음과 같이 변경될 수 있습니다.
    addrgenmode IP-링크. conf/default/stable_secret은 다음과 같이 사용됩니다.
    네임스페이스 비밀, 인터페이스별 가능
    그걸 덮어라. conf/all/stable_secret에 대한 쓰기가 거부됩니다.

    설치 중에 이 키를 생성하는 것이 좋습니다.
    그 이후에도 시스템은 안정적으로 유지됩니다.

    기본적으로 안정적인 비밀은 설정되지 않습니다.

이 기사는 Linux 커널 메일링 리스트에 게시되었습니다.그리고이 git 커밋 메시지디스플레이 RFC 7217은 2015년 3월 Hannes Frederic Sowa에 의해 Linux 커널에 구현되었습니다. 안타깝게도 해당 출시 커널 버전을 확인할 수 없습니다.

stable_secret읽기만 하고 설정하지 않을 때 I/O 오류가 발생할 수 있습니다.

커밋 텍스트는 stable_secret변수를 읽으면 설정될 때까지 I/O 오류가 반환됨을 나타냅니다.

비밀은 ipv6 주소 형식이며 인터페이스 및 네임스페이스별로 저장됩니다. 초기화 플래그를 추적하고비밀번호가 설정될 때까지 EIO 오류를 반환합니다.

[강조 내 것]

관련 정보