在加密的NFS上使用什麼密碼？

Question

爲了保護NFS（網絡文件系統），安裝選項krb5p可用於加密文件服務器和NFS客戶端之間的所有通信。身份驗證和密鑰交換基於Kerberos。 這裏是如何配置爲Debian的例子：https://wiki.debian.org/NFS/Kerberos

不幸的是，似乎沒有辦法來配置用於該運輸enryption密碼。使用什麼密碼以及如何配置，選擇或強制執行？

Answer 1

未將NFSv4與Kerberos結合使用，但在許多其他地方使用它，您指的是GSS-API通過Kerberos提供的機密性，這些Kerberos使用gss_wrap(3)/gss_unwrap(3)實現。它提供了一個保護參數的質量，但我相當肯定NFSv4會根據機制自行決定是否保留null。無論如何，鑑於GSS-API完全從機制中抽象出來，你可能別無選擇，但你仍然可以做些什麼。在KDC中至少啓用RC4，最好是AES128和AES256。實施將使用最佳可用密碼。您可以掃描客戶端和TGS（TGS-REQ和TGS-REP），客戶端和服務器（NFS）之間的流量，以查看哪種加密類型已經協商過，並且這將很好地用於打包/解包。您可以像我一樣閱讀RFC，但這需要花費很多時間才能理解。

希望這會有所幫助。當然，我可能完全錯誤NFSv4內部。

剛做了一些挖掘，現在我確定我的分析是正確的。 RFC 7530, chapter 3.2.1針對krb5p以及AES與HMAC-SHA1一起討論Kerberos 5強制隱私。進一步閱讀導致RFC 2203（RPCSEC_GSS規範），其中談到gss_wrap/gss_unwrap。