IPv6/Privacy/Linux
IPv6/Privacy/Linux - IPv6 Privacy Extension
Beschreibung
Alle großen Linux-Distributionen aktivieren IPv6, die Privacy Extensions nicht!
- Prüfen
Das bemerkt man schnell an den aus der Hardware-Adresse abgeleiteten Adressen, die im hinteren Teil die Bytes ff und fe enthalten.
- Die Privacy Extensions lassen sich über das Sysctl-System dauerhaft einschalten
Am einfachsten gelingt das, wenn man für jede Netzwerkschnittstelle im Computer eine Zeile in die Datei /etc/sysctl.conf nachträgt.
net.ipv6.conf.IF.use_tempaddr = 2
Den Platzhalter IF müssen Sie dabei durch die Schnittstellenbezeichnung ersetzen, also etwa eth0 für die erste Ethernet-Karte oder wlan0 für das WLAN-Interface.
- Testweise können Sysctl-Werte auch über die Shell eingeben werden
sysctl net.ipv6.conf.wlan0.use_tempaddr=2
Damit Linux die Netzwerkschnittstelle mit einer temporären IPv6-Adresse versorgt, müssen Sie die Schnittstelle einmal aus- und wieder einschalten (etwa über den Network Manager).
- Anschließend zeigt ifconfig an der Schnittstelle eine weitere IPv6-Adresse, deren hinterer Teil nicht mehr aus der Hardware-Adresse abgeleitet wurde.
- Dass es sich tatsächlich um eine temporäre Adresse handelt, zeigt der Befehl ip -6 addr show über den Bezeichner "temporary" in seinen Ausgaben an.
- Bei Ubuntu muss zusätzlich der Wert net.ipv6.conf.default.use_tempaddr=2 in der Datei /etc/sysctl.conf setzen.
Vorgaben ändern
- Vorgaben zum Wechseln der temporären IPv6-Adresse lassen sich via sysctl anpassen
Die Sysctl-Schlüssel
net.ipv6.conf.IF.temp_valid_lft net.ipv6.conf.IF.temp_prefered_lft
setzen die maximale Zeit in Sekunden, in der Linux die Adresse für eingehende und ausgehende Anfragen nutzt.
Der letzte Schlüssel hat typischerweise den Wert 86400 (24 Stunden), eingehende Pakete akzeptiert Linux sieben Tage an dieser Adresse.
- Den Platzhalter IF müssen Sie dabei wie oben durch den Schnittstellennamen ersetzen.