Không sử dụng NFSv4 với Kerberos nhưng đã sử dụng nó ở nhiều nơi khác, bạn đang đề cập đến tính bảo mật do GSS-API cung cấp thông qua Kerberos được triển khai với gss_wrap(3)/gss_unwrap(3)
. Nó cung cấp một tham số bảo vệ chất lượng nhưng tôi khá chắc chắn rằng NFSv4 sẽ để trống nó => theo quyết định của cơ chế.
Dù sao, khi GSS-API hoàn toàn tóm tắt từ cơ chế, bạn có thể không có lựa chọn nào khác nhưng bạn vẫn có thể làm điều gì đó về nó. Bật trong KDC của bạn ít nhất RC4, ở AES128 và AES256 tốt nhất. Việc triển khai sẽ sử dụng mật mã có sẵn tốt nhất. Bạn có thể quét lưu lượng giữa máy khách và TGS (TGS-REQ
và TGS-REP
), máy khách và máy chủ (NFS
) để xem loại mã hóa nào đã được thương lượng và loại này sẽ được sử dụng để gói/mở. Bạn luôn có thể đọc RFC như tôi đã làm nhưng điều này sẽ mất rất nhiều thời gian để hiểu.
Hy vọng điều này sẽ hữu ích. Tất nhiên, tôi có thể hoàn toàn sai về NFSv4 internals.
Chỉ cần thực hiện một số đào và tôi khá chắc chắn bây giờ rằng phân tích của tôi là chính xác. RFC 7530, chapter 3.2.1 nói về quyền riêng tư bắt buộc Kerberos 5 cho krb5p
cũng như AES cùng với HMAC-SHA1. Đọc thêm dẫn đến RFC 2203 (đặc tả RPCSEC_GSS) nói về gss_wrap/gss_unwrap
.
Nguồn
2016-02-25 08:57:31
Xem câu trả lời cập nhật của tôi. –