Ich verwende NFSv4 mit sec=krb5paktivierter Verschlüsselung auf einem CentOS 7-Client und -Server. Meine NFS-Freigaben werden beim Booten problemlos gemountet, und wenn ich meine Keytab-Datei abfrage, kann ich die Liste der verfügbaren Chiffren anzeigen, wie auch ...
# klist -ke
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fqdn.host.name@ADS (des-cbc-crc)
3 nfs/fqdn.host.name@ADS (des-cbc-md5)
3 nfs/fqdn.host.name@ADS (arcfour-hmac)
3 nfs/fqdn.host.name@ADS (aes256-cts-hmac-sha1-96)
3 nfs/fqdn.host.name@ADS (aes128-cts-hmac-sha1-96)
Das ist wunderbar, und ich bin froh, dass ich NFSv4 mit End-to-End-Verschlüsselung unter Verwendung der Kerberos 5-Authentifizierung sicher einsetzen und sogar die verfügbaren Chiffren einschränken oder „schwache Chiffren“ über die /etc/krb5.confDatei ausschließen kann. Jetzt, wo es „funktioniert“, würde ich gerne überprüfen können, ob mein Client standardmäßig keine schwache Verschlüsselungs-Chiffre wie „des-cbc-crc“ verwendet, oder noch besser bestätigen, dass mein Client die Verschlüsselung „aes256-cts-hmac-sha1-96“ verwendet! Ich scheine diese Funktion in keinem meiner Kerberos-Paket-Dienstprogramme finden zu können.
Gibt es eine Möglichkeit, festzustellen, WELCHE Verschlüsselung zum Sichern einer vorhandenen NFS-Einbindung verwendet wird?