NFSv4'ü Kerberos ile birlikte kullanmadan ancak başka birçok yerde kullanmadan, gss_wrap(3)/gss_unwrap(3)
ile uygulanan Kerberos aracılığıyla GSS-API tarafından sağlanan gizliliğe atıfta bulunursunuz. Bu, bir koruma parametresi kalitesi sağlar, ancak NFSv4'ün onu, mekanizmanın takdirine bağlı olarak boş bırakacağından eminim.
Her neyse, GSS-API'nin mekanizmadan tamamen soyutlandığını düşünürseniz, muhtemelen başka seçeneğiniz yoktur, ancak yine de bununla ilgili bir şeyler yapabilirsiniz. KDC'nizde en az RC4, en iyi AES128 ve AES256'da etkinleştirin. Uygulamalar mevcut en iyi şifreyi kullanacaktır. Hangi şifreleme türünün pazarlık edildiğini görmek için istemci ve TGS (TGS-REQ
ve TGS-REP
), istemci ve sunucu (NFS
) arasındaki trafiği tarayabilirsiniz ve bu da sarma/paketleme için çok kullanılacaktır. RFC'leri her zaman yaptığım gibi okuyabilirsiniz, ancak bu anlamanın çok zaman alacaktır.
Bu yardımcı olur umarım. Tabii ki, NFSv4 internals hakkında tamamen yanlış olabilirim.
Sadece biraz kazımayı yaptım ve şimdi analizimin doğru olduğuna eminim. RFC 7530, chapter 3.2.1, krb5p
için Kerberos 5 zorunlu gizliliği ve HMAC-SHA1 ile birlikte AES hakkında konuşuyor. Daha fazla okuma, gss_wrap/gss_unwrap
'dan söz eden RFC 2203 (RPCSEC_GSS spesifikasyonları) ile sonuçlanır.
Güncellenmiş yanıtımı görün. –