为了保护 NFS(网络文件系统),安装选项 krb5p 可用于加密文件服务器和 NFS 客户端之间的所有流量。身份验证和密钥交换基于 Kerberos。
以下是如何为 Debian 配置的示例:https://wiki.debian.org/NFS/Kerberos
不幸的是,似乎无法配置用于此传输加密的密码。使用什么密码?如何配置、选择或强制执行?
【问题讨论】:
在没有将 NFSv4 与 Kerberos 一起使用但在许多其他地方使用的情况下,您指的是 GSS-API 通过 Kerberos 提供的机密性,该机密性通过 gss_wrap(3)/gss_unwrap(3) 实现。它提供了保护参数的质量,但我很确定 NFSv4 会根据机制自行决定将其保留为 null =>。
无论如何,鉴于 GSS-API 完全从机制中抽象出来,您可能别无选择,但您仍然可以做一些事情。在您的 KDC 中至少启用 RC4,最好是 AES128 和 AES256。实现将使用最佳可用密码。您可以扫描客户端和 TGS(TGS-REQ 和 TGS-REP)、客户端和服务器(NFS)之间的流量,以查看已协商的加密类型,这将高度用于打包/解包。你总是可以像我一样阅读 RFC,但这需要很长时间才能理解。
希望这会有所帮助。当然,关于 NFSv4 的内部结构,我可能完全错了。
刚刚进行了一些挖掘,我现在非常确定我的分析是正确的。 RFC 7530, chapter 3.2.1 谈到了krb5p 的 Kerberos 5 强制隐私以及 AES 和 HMAC-SHA1。进一步阅读导致RFC 2203(RPCSEC_GSS 规范)讨论gss_wrap/gss_unwrap。
【讨论】: