NFS(ネットワークファイルシステム)を保護するために、マウントオプションkrb5pを使用して、ファイルサーバーとNFSクライアント間のすべてのトラフィックを暗号化できます。認証と鍵交換はKerberosに基づいています。 これはDebianの設定方法の例です:https://wiki.debian.org/NFS/Kerberos暗号化されたNFSにはどのような暗号が使用されていますか?
残念ながら、このトランスポート暗号化に使用する暗号を設定する方法はないようです。どの暗号が使用され、どのようにこれを設定、選択、または強制できますか?
KerberosでNFSv4を使用していないが、他の多くの場所で使用していない場合は、gss_wrap(3)/gss_unwrap(3)で実装されたKerberosを介してGSS-APIによって提供される機密性を指しています。それは保護パラメタの質を提供しますが、私はNFSv4がメカニズムの裁量でそれをnullのままにすることをかなり確信しています。
とにかくGSS-APIがメカニズムから完全に抽象化されているとすれば、おそらく選択肢はありませんが、それでも何かできることはあります。少なくともK4、少なくともAES128とAES256のKDCで有効にしてください。実装では、利用可能な最高の暗号を使用します。クライアントとTGS(TGS-REQとTGS-REP)、クライアントとサーバー(NFS)間のトラフィックをスキャンして、どの暗号化タイプがネゴシエートされているかを調べることができます。これはラッピング/アンラッピングに大いに使用されます。私がしたようにいつでもRFCを読むことができますが、これは理解するのに多くの時間がかかります。
これが役に立ちます。もちろん、私はNFSv4内部について完全に間違っている可能性があります。
ちょうどいくつかの掘り出し物を作ったので、私の分析が正しいようになりました。 RFC 7530, chapter 3.2.1は、krb5pのKerberos 5必須のプライバシーについて、またHMAC-SHA1と一緒にAESについて話しています。さらに読むとgss_wrap/gss_unwrapについて語るRFC 2203(RPCSEC_GSS仕様)につながります。
私の更新された回答を参照してください。 –