Frage Welche Chiffre wird bei verschlüsseltem NFS verwendet?


Zum Sichern von NFS (Network File System) die Mount-Option krb5p kann verwendet werden, um den gesamten Datenverkehr zwischen dem Dateiserver und dem NFS-Client zu verschlüsseln. Authentifizierung und Schlüsselaustausch basieren auf Kerberos. Hier ist ein Beispiel, wie man das für Debian konfiguriert: https://wiki.debian.org/NFS/Kerberos

Leider scheint es keine Möglichkeit zu geben, die Verschlüsselung für diese Transportverschlüsselung zu konfigurieren. Welche Chiffre wird verwendet und wie kann diese konfiguriert, ausgewählt oder durchgesetzt werden?


6
2018-02-08 07:45


Ursprung


Antworten:


Ohne NFSv4 mit Kerberos verwendet zu haben, aber an vielen anderen Stellen verwendet zu haben, beziehen Sie sich auf die Vertraulichkeit, die von der GSS-API über Kerberos bereitgestellt wird gss_wrap(3)/gss_unwrap(3). Es bietet eine Qualität des Schutzparameters, aber ich bin ziemlich sicher, dass NFSv4 es null => im Ermessen des Mechanismus verlassen wird.

In Anbetracht der Tatsache, dass die GSS-API vollständig vom Mechanismus abstrahiert, haben Sie wahrscheinlich keine Wahl, aber Sie können trotzdem etwas dagegen tun. Aktivieren Sie in Ihrem KDC mindestens RC4, bestenfalls AES128 und AES256. Implementierungen verwenden die beste verfügbare Verschlüsselung. Sie können den Datenverkehr zwischen dem Client und TGS (TGS-REQ und TGS-REP), Client und Server (NFS), um zu sehen, welcher Verschlüsselungstyp ausgehandelt wurde, und dies wird in hohem Maße zum Ein / Auspacken verwendet. Sie können die RFCs immer so lesen, wie ich es getan habe, aber das wird viel Zeit zum Verständnis brauchen.

Hoffe das hilft. Mit NFSv4 Interna könnte ich natürlich völlig falsch liegen.

Habe gerade etwas gegraben und bin jetzt ziemlich sicher, dass meine Analyse korrekt ist. RFC 7530, Kapitel 3.2.1 spricht über Kerberos 5 obligatorische Privatsphäre für krb5p sowie AES zusammen mit HMAC-SHA1. Weitere Lektüre führt zum RFC 2203 (RPCSEC_GSS spec) worüber gesprochen wird gss_wrap/gss_unwrap.


5
2018-02-25 08:57