Какой шифр используется в зашифрованном NFS?
Для защиты NFS (сетевой файловой системы), опция монтирования krb5p может использоваться для шифрования всего трафика между файловым сервером и клиентом NFS. Аутентификация и обмен ключами основаны на Kerberos. Вот пример того, как настроить это для Debian: https://wiki.debian.org/NFS/Kerberos
К сожалению, кажется, что нет способа настроить шифр, используемый для этого транспортного шифрования. Какой шифр используется и как его можно настроить, выбрать или применить?
1 ответ
Не используя NFSv4 с Kerberos, но используя его во многих других местах, вы имеете в виду конфиденциальность, предоставляемую GSS-API через Kerberos, которая реализуется с помощью gss_wrap(3)/gss_unwrap(3), Он обеспечивает параметр качества защиты, но я совершенно уверен, что NFSv4 оставит его пустым => по усмотрению механизма.
В любом случае, учитывая, что GSS-API полностью абстрагируется от механизма, у вас, вероятно, нет выбора, но вы все равно можете что-то с этим сделать. Включите в своем KDC как минимум RC4, в лучшем случае AES128 и AES256. Реализации будут использовать лучший доступный шифр. Вы можете сканировать трафик между клиентом и TGS (TGS-REQ а также TGS-REP), клиент и сервер (NFS), чтобы увидеть, какой тип шифрования был согласован, и это будет широко использоваться для упаковки / распаковки. Вы всегда можете прочитать RFC, как я, но это займет много времени, чтобы понять.
Надеюсь это поможет. Конечно, я могу быть совершенно не прав насчет внутренних компонентов NFSv4.
Просто покопался, и теперь я совершенно уверен, что мой анализ верен. RFC 7530, глава 3.2.1, говорит об обязательной конфиденциальности Kerberos 5 для krb5p а также AES вместе с HMAC-SHA1. Дальнейшее чтение приводит к RFC 2203 (спецификация RPCSEC_GSS), в котором говорится о gss_wrap/gss_unwrap,