NFS 验证和加密选项

默认情况下，NFS 共享资源通过 AUTH_SYS RPC 验证进行分配。也可以将其配置为通过 Kerberos 安全进行共享。使用 AUTH_SYS 验证，客户机的 UNIX 用户 ID (User ID, UID) 和组 ID (Group ID, GID) 在网络上不会经过 NFS 服务器验证。此验证机制可被客户机上具有 root 访问权限的任何人轻松破解；因此，最好使用一个其他可用安全模式。

可以以共享资源为单位指定其他访问控制，从而允许或拒绝对特定主机、DNS 域或网络的共享资源的访问。

安全模式

安全模式以共享资源为单位进行设置。以下列表介绍了可用的 Kerberos 安全设置：

• krb5－通过 Kerberos V5 进行最终用户验证

• krb5i－krb5 加完整性保护（数据包是防篡改的）

• krb5p－krb5i 加隐私保护（数据包是防篡改而经过加密的）

Kerberos 类型的组合也可以在安全模式设置中指定。组合安全模式允许客户机使用所列出的任何 Kerberos 类型进行挂载。

Kerberos 类型

• sys－系统验证

• krb5－仅限 Kerberos v5，客户机必须使用此类型进行挂载

• krb5:krb5i－Kerberos v5，带有完整性，客户机可以使用所列出的任何类型进行挂载

• krb5i－仅限 Kerberos v5 完整性 ，客户机必须使用此类型进行挂载

• krb5:krb5i:krb5p－Kerberos v5，带有完整性或隐私，客户机可以使用所列出的任何类型进行挂载

• krb5p－仅限 Kerberos v5 隐私，客户机必须使用此类型进行挂载