为了保护 NFS(网络文件系统(,挂载选项krb5p可用于加密文件服务器和 NFS 客户端之间的所有流量。身份验证和密钥交换基于 Kerberos。下面是一个如何为 Debian 配置它的示例: https://wiki.debian.org/NFS/Kerberos
不幸的是,似乎没有办法配置用于此传输加密的密码。使用什么密码以及如何配置、选择或强制执行?
没有在 Kerberos
中使用过 NFSv4,但在许多其他地方使用它,您指的是 GSS-API 通过 Kerberos 提供的机密性,它是通过 gss_wrap(3)/gss_unwrap(3) 实现的。它提供了一个保护质量参数,但我非常确定 NFSv4 会根据机制的自由裁量权将其保留为 null =>。
无论如何,鉴于 GSS-API 完全从机制中抽象出来,您可能别无选择,但您仍然可以对此做点什么。在您的 KDC 中至少启用 RC4,最多启用 AES128 和 AES256。实现将使用最佳可用密码。您可以扫描客户端和TGS(TGS-REQ和TGS-REP(,客户端和服务器(NFS(之间的流量,以查看已协商的加密类型,这将高度用于包装/解包。您始终可以像我一样阅读 RFC,但这需要花费大量时间才能理解。
希望这有帮助。当然,我对 NFSv4 内部结构的看法可能是完全错误的。
刚刚做了一些挖掘,我现在很确定我的分析是正确的。RFC 7530 第 3.2.1 章讨论了 Kerberos 5 对krb5p以及 AES 以及 HMAC-SHA1 的强制隐私。进一步阅读导致RFC 2203(RPCSEC_GSS规范(讨论了gss_wrap/gss_unwrap。