加密NFS使用什么密码？

如果您没有使用过带有Kerberos的NFSv4，但在许多其他地方使用过它，那么您所提到的机密性是通过实现gss_wrap(3)/gss_unwrap(3)的Kerberos提供的GSS-API提供的。它提供了一种保护质量参数，但我相当确定NFSv4会将其留空=>由机制自行决定。

无论如何，鉴于GSS-API完全抽象出机制，您可能别无选择，但仍然可以采取一些措施。至少在您的KDC中启用RC4，最好启用AES128和AES256。实现将使用最佳可用密码。您可以扫描客户端和TGS（TGS-REQ和TGS-REP）、客户端和服务器（NFS）之间的流量，以查看已经协商了哪种加密类型，并且这将高度用于包装/解包。您总是可以像我一样阅读RFCs，但这需要很长时间才能理解。