Senza aver utilizzato NFSv4 con Kerberos ma utilizzato in molti altri luoghi, si fa riferimento alla riservatezza fornita da GSS-API tramite Kerberos implementata con gss_wrap(3)/gss_unwrap(3)
. Fornisce una qualità di parametro di protezione, ma sono abbastanza certo che NFSv4 lascerà null => a discrezione del meccanismo.
In ogni caso, dato che GSS-API completamente astrae dal meccanismo, probabilmente non hai scelta ma puoi comunque fare qualcosa al riguardo. Abilita nel tuo KDC almeno RC4, al meglio AES128 e AES256. Le implementazioni useranno il miglior codice disponibile. È possibile eseguire la scansione del traffico tra il client e TGS (TGS-REQ
e TGS-REP
), client e server (NFS
) per vedere quale tipo di crittografia è stato negoziato e verrà utilizzato per il wrapping/unwrapping. Puoi sempre leggere gli RFC come ho fatto, ma ci vorrà molto tempo per capire.
Spero che questo aiuti. Ovviamente, potrei sbagliare completamente riguardo agli interni di NFSv4.
Ho appena scavato e sono abbastanza certo ora che la mia analisi è corretta. RFC 7530, chapter 3.2.1 parla della privacy obbligatoria di Kerberos 5 per krb5p
nonché di AES insieme a HMAC-SHA1. Ulteriori letture portano allo RFC 2203 (specifiche RPCSEC_GSS) che parla di gss_wrap/gss_unwrap
.
fonte
2016-02-25 08:57:31
Vedere la mia risposta aggiornata. –