为了保护 NFS(网络文件系统),mount 选项krb5p可用于加密文件服务器和 NFS 客户端之间的所有流量。身份验证和密钥交换基于 Kerberos。这是一个关于如何为 Debian 配置它的示例:https ://wiki.debian.org/NFS/Kerberos
不幸的是,似乎没有办法配置用于此传输加密的密码。使用什么密码,如何配置、选择或实施?
问问题
2220 次
1 回答
5
在没有将 NFSv4 与 Kerberos 一起使用但在许多其他地方使用它的情况下,您指的是 GSS-API 通过 Kerberos 提供的机密性,它是用gss_wrap(3)/gss_unwrap(3). 它提供了一个保护参数的质量,但我很确定 NFSv4 会根据机制自行决定将其保留为 null =>。
无论如何,鉴于 GSS-API 完全从机制中抽象出来,您可能别无选择,但您仍然可以对此做点什么。在您的 KDC 中至少启用 RC4,最好是 AES128 和 AES256。实现将使用最佳可用密码。您可以扫描客户端和 TGS(TGS-REQ和TGS-REP)、客户端和服务器(NFS)之间的流量,以查看已协商的加密类型,这将高度用于包装/解包。你总是可以像我一样阅读 RFC,但这需要很长时间才能理解。
希望这可以帮助。当然,我对 NFSv4 内部结构的看法可能完全错误。
刚刚做了一些挖掘,我现在很确定我的分析是正确的。RFC 7530,第 3.2.1 章讨论了 Kerberos 5 强制隐私krb5p以及 AES 以及 HMAC-SHA1。进一步阅读导致RFC 2203(RPCSEC_GSS 规范)讨论gss_wrap/gss_unwrap.
于 2016-02-25T08:57:31.203 回答