sec=krb5p我在 CentOS 7 用戶端和伺服器上使用啟用了加密的 NFSv4 。我的 NFS 共享在啟動時完美安裝,當我查詢密鑰表文件時,我可以查看可用密碼列表,如下所示...
# klist -ke
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
3 nfs/fqdn.host.name@ADS (des-cbc-crc)
3 nfs/fqdn.host.name@ADS (des-cbc-md5)
3 nfs/fqdn.host.name@ADS (arcfour-hmac)
3 nfs/fqdn.host.name@ADS (aes256-cts-hmac-sha1-96)
3 nfs/fqdn.host.name@ADS (aes128-cts-hmac-sha1-96)
這太棒了,我很高興能夠使用 Kerberos 5 身份驗證安全地使用具有端對端加密的 NFSv4,甚至限制可用的密碼,或透過檔案排除「弱密碼」/etc/krb5.conf。現在它正在“工作”,我肯定希望能夠驗證我的客戶端沒有預設使用像“des-cbc-crc”這樣的弱加密密碼,或者更好地確認我的客戶端正在使用“aes256- cts-hmac -sha1-96”加密!我似乎無法在我的任何 Kerberos 包實用程式中找到此功能。
有沒有辦法確定使用哪種密碼來保護現有 NFS 掛載?