NFS (ネットワーク ファイル システム) を保護するために、マウント オプションkrb5pを使用して、ファイル サーバーと NFS クライアント間のすべてのトラフィックを暗号化できます。認証と鍵交換は Kerberos に基づいています。これを Debian 用に設定する方法の例を次に示します: https://wiki.debian.org/NFS/Kerberos
残念ながら、このトランスポート暗号化に使用される暗号を構成する方法はないようです。どのような暗号が使用されていますか? また、これをどのように構成、選択、または適用できますか?
Kerberos で NFSv4 を使用したことがなく、他の多くの場所で使用した場合は、で実装されている Kerberos を介して GSS-API によって提供される機密性について言及していますgss_wrap(3)/gss_unwrap(3)。これは保護品質パラメーターを提供しますが、NFSv4 がメカニズムの裁量で null => のままにすることは確実です。
いずれにせよ、GSS-API がメカニズムから完全に抽象化されていることを考えると、選択の余地はないかもしれませんが、それでも何かを行うことはできます。KDC で少なくとも RC4、せいぜい AES128 と AES256 を有効にします。実装では、利用可能な最適な暗号が使用されます。クライアントと TGS (TGS-REQおよびTGS-REP)、クライアントとサーバー ( NFS) の間のトラフィックをスキャンして、どの暗号化タイプがネゴシエートされたかを確認できます。これは、ラッピング/アンラッピングによく使用されます。私と同じようにいつでも RFC を読むことができますが、これを理解するにはかなりの時間がかかります。
お役に立てれば。もちろん、NFSv4 内部については完全に間違っている可能性があります。
掘り下げたところ、私の分析が正しいことを確信しています。RFC 7530 の 3.2.1 章では、Kerberos 5 の必須のプライバシーkrb5pと AES および HMAC-SHA1 について説明しています。さらに読むと、 RFC 2203 (RPCSEC_GSS 仕様) につながりgss_wrap/gss_unwrapます。