CentOS 7 クライアントとサーバーで暗号化を有効にしたNFSv4 を使用していますsec=krb5p。NFS 共有は起動時に問題なくマウントされ、キータブ ファイルを照会すると、使用可能な暗号のリストを表示できます。
# klist -ke
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fqdn.host.name@ADS (des-cbc-crc)
3 nfs/fqdn.host.name@ADS (des-cbc-md5)
3 nfs/fqdn.host.name@ADS (arcfour-hmac)
3 nfs/fqdn.host.name@ADS (aes256-cts-hmac-sha1-96)
3 nfs/fqdn.host.name@ADS (aes128-cts-hmac-sha1-96)
これは素晴らしいです。Kerberos 5 認証を使用してエンドツーエンドの暗号化で NFSv4 を安全に使用でき、使用可能な暗号を制限したり、ファイルを介して「弱い暗号」を除外したりできることに満足してい/etc/krb5.confます。これで「動作」するようになったので、クライアントがデフォルトで「des-cbc-crc」などの弱い暗号化暗号を使用していないことを確認したり、クライアントが「aes256-cts-hmac-sha1-96」暗号化を使用していることを確認したりしたいと思います。Kerberos パッケージ ユーティリティのいずれにもこの機能が見つからないようです。
既存の NFS マウントを保護するためにどの暗号が使用されているかを判断する方法はありますか?