¿Cómo puedo proteger mejor NFS entre un host Xen en Debian y máquinas virtuales?

¿Cómo puedo proteger mejor NFS entre un host Xen en Debian y máquinas virtuales?

Después de investigar un poco, parece que la mejor manera de compartir archivos entre mi host Debian Xen y las máquinas virtuales es usar NFS.

¿Cómo puedo proteger NFS para que solo la máquina virtual especificada pueda acceder a él? Usar direcciones IP iptablesfuncionaría, sin embargo, en realidad no parece el método más seguro. ¿Puedo bloquear NFS en mi bond0interfaz y permitirlo entre el host y las máquinas virtuales usando la xenbr0interfaz? Aquí está mi /etc/network/interfacesconfiguración:

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# network interfaces
auto eth0
iface eth0 inet manual
   bondmaster bond0

auto eth1
iface eth1 inet manual
   bondmaster bond0

#lacp bonded interface
auto bond0
iface bond0 inet manual
   bond-mode 4
   bond-miimon 100
   bond-lacp-rate 1
   bond-slaves eth0 eth1

#xen bridge
auto xenbr0
iface xenbr0 inet static
   bridge_ports bond0
   address 10.0.0.12
   gateway 10.0.0.1
   netmask 255.255.255.0

Respuesta1

Primero usaría sshfs.

En segundo lugar, hasta NFSv3 en Linux, NFS es inseguro. Puede crear una red NFS privada o utilizar NFSv4 seguro.

Respuesta2

Decide lo que quieres hacer:

  • seguridad de red independiente de la aplicación y más "general" realizada por iptables en el servidor NFS
  • Seguridad específica de la aplicación realizada por nfsd en el servidor NFS.
  • o ambos.

En NFS, comparte un directorio de solo lectura con un cliente específico de la siguiente manera:

echo "/mynfs clt.xmpl.com(sync)" >> /etc/exports.d/my-ro.exports
exportfs -r

información relacionada