Nach einigen Recherchen scheint die beste Möglichkeit zum Austausch von Dateien zwischen meinem Debian-Xen-Host und den darauf befindlichen virtuellen Maschinen die Verwendung von NFS zu sein.
Wie kann ich NFS so sichern, dass nur die angegebene VM darauf zugreifen kann? Die Verwendung von IP-Adressen iptableswürde funktionieren, scheint jedoch nicht wirklich die sicherste Methode zu sein. Könnte ich NFS auf meiner bond0Schnittstelle blockieren und es zwischen dem Host und virtuellen Maschinen, die die Schnittstelle verwenden, zulassen xenbr0? Hier ist meine /etc/network/interfacesKonfiguration:
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# network interfaces
auto eth0
iface eth0 inet manual
bondmaster bond0
auto eth1
iface eth1 inet manual
bondmaster bond0
#lacp bonded interface
auto bond0
iface bond0 inet manual
bond-mode 4
bond-miimon 100
bond-lacp-rate 1
bond-slaves eth0 eth1
#xen bridge
auto xenbr0
iface xenbr0 inet static
bridge_ports bond0
address 10.0.0.12
gateway 10.0.0.1
netmask 255.255.255.0
Antwort1
Zuerst würde ich sshfs verwenden.
Zweitens ist NFS unter Linux bis auf NFSv3 unsicher. Sie können entweder ein privates NFS-Netzwerk aufbauen oder sicheres NFSv4 verwenden.
Antwort2
Entscheiden Sie, was Sie tun möchten:
- anwendungsunabhängige und „allgemeinere“ Netzwerksicherheit durch iptables auf dem NFS-Server
- anwendungsspezifische Sicherheit durch NFSD auf dem NFS-Server
- oder beides.
In NFS geben Sie ein Verzeichnis wie folgt schreibgeschützt für einen bestimmten Client frei:
echo "/mynfs clt.xmpl.com(sync)" >> /etc/exports.d/my-ro.exports
exportfs -r