Я использую NFSv4 с sec=krb5pвключенным шифрованием на клиенте и сервере CentOS 7. Мои общие ресурсы NFS безупречно монтируются во время загрузки, и когда я запрашиваю свой файл keytab, я могу просмотреть список доступных шифров, как это...
# klist -ke
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fqdn.host.name@ADS (des-cbc-crc)
3 nfs/fqdn.host.name@ADS (des-cbc-md5)
3 nfs/fqdn.host.name@ADS (arcfour-hmac)
3 nfs/fqdn.host.name@ADS (aes256-cts-hmac-sha1-96)
3 nfs/fqdn.host.name@ADS (aes128-cts-hmac-sha1-96)
Это замечательно, и я рад, что могу безопасно использовать NFSv4 с сквозным шифрованием, используя аутентификацию Kerberos 5, и даже ограничивать доступные шифры или исключать «слабые шифры» через файл /etc/krb5.conf. Теперь, когда это «работает», я бы хотел убедиться, что мой клиент не использует по умолчанию слабый шифр, такой как «des-cbc-crc», или еще лучше подтвердить, что мой клиент использует шифрование «aes256-cts-hmac-sha1-96»! Кажется, я не могу найти эту функцию ни в одной из моих утилит пакета Kerberos.
Есть ли способ определить, КАКОЙ шифр используется для защиты существующего монтирования NFS?