From Fedora Project Wiki
Avahi 默认在桌面
概述
Fedora 应默认能搜索到 MDNS 共享打印机和其他 MDNS 设备。但系统不应默认通过 MDNS 公布隐私信息。 原则上讲这类似于默认启用 DNS 查询,并且认为是理所应当的。
拥有者
- 姓名: Stef Walter
- 电子邮件: stefw@redhat.com
目前状态
- 目标发行: Fedora 18
- 最后更新: 2012-10-22
- 完成百分比: 100%
已完成研究,包括来自多位红帽安全人士的调查和各种承诺也许下以保证不会有隐私及安全隐患。
详细描述
使用案例:
- 用户在家或者在一个打印店(如 Kinkos)想要第一次打印到一个打印机上。
- 从系统设置中打开“打印机”以添加新打印机。
- 打印机广播其在使用 MDNS,用户看见他显示,点击它以安装。
目前这在 Fedora 中不工作。Avahi 默认被我们的防火墙阻止。很明显许多打印机不使用 MDNS,这是关于 MDNS 和我们的实现:Avahi。
注意防火墙在这个使用案例中是正交的。我们想要打印机在任何网络上从“打印机”控制面板中被发现,即使在可能是“恶意”的网络上。用户不应需要按照策略工具包提示输入他们的根用户或登录密码以查看网络中的 MDNS 设备,也无需禁用防火墙或欺骗它。
未知安全漏洞已被解释为SELinux 附带 avahi 守护进程的使用。已知隐私问题已被修复。
隐私信息不应被 Fedora 默认发布,不论是通过 MDNS 或者任何其他机制。我们已为各种应用程序打好补丁以保证这不会发生。应始终是用户开启任何信息的发布。
请注意主机名称不被认为是隐私信息。其信息由 DHCP 和其他组件广播。 通过 DHCP 连接到某网络意味着用户会发布其主机名。这是几乎所有主流操作系统的默认配置,包括 RHEL 和 Fedora。
GNOME 的工作是在用户界面控制隐私及共享,但那不是该特性的一部分。
这不是关于 UPnP 或其他设备发现方法。未来对这些其他方法的评估会检查他们各自的特性、隐私和安全。
对 Fedora 的贡献
- 更少的用户会禁用防火墙,为实际使用提升安全性。
- 设定 Fedora 对用户来说会更简单。
范围
关于各种包的改变及工作进度见 研究。
如何测试
- 安装一个新的 Fedora 系统;
- 用一下命令验证 Avahi 在运行:
# systemctl status avahi-daemon.service
- 用以下命令显示 MDNS 端口已在防火墙中对本地(多播)网络打开:
# iptables --table filter --list | grep mdns
- 在另一系统中用以下命令显示没有隐私信息或附加服务被展示。
$ avahi-browse --all
用户体验
用户不会被鼓励禁用防火墙。Fedora 对新用户会具更少磨损性。
依赖
- avahi
- libvirtd
- udisks2
- firewalld
应变计划
- 对包有各种修复措施因此他们不会默认发布信息。
- 如果补丁不能使其成功(?)那么我们会不会默认在防火墙中打开 avahi 。
文档
- 研究在此处完成: [1]
发行说明
- 选择安装“图形桌面”软件会包括一个 MDNS 客户端。这允许开箱即用地发现本地网络的设备。隐私信息不会通过 MDNS 默认发布。