После некоторых исследований я пришел к выводу, что наилучшим способом обмена файлами между моим хостом Debian Xen и виртуальными машинами на нем является использование NFS.
Как мне защитить NFS, чтобы только указанная VM могла получить к нему доступ? Использование IP-адресов и iptablesбудет работать, однако это не кажется самым безопасным методом. Могу ли я заблокировать NFS на моем bond0интерфейсе и разрешить его между хостом и виртуальными машинами, используя xenbr0интерфейс? Вот моя /etc/network/interfacesконфигурация:
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# network interfaces
auto eth0
iface eth0 inet manual
bondmaster bond0
auto eth1
iface eth1 inet manual
bondmaster bond0
#lacp bonded interface
auto bond0
iface bond0 inet manual
bond-mode 4
bond-miimon 100
bond-lacp-rate 1
bond-slaves eth0 eth1
#xen bridge
auto xenbr0
iface xenbr0 inet static
bridge_ports bond0
address 10.0.0.12
gateway 10.0.0.1
netmask 255.255.255.0
решение1
Сначала я бы использовал sshfs.
Второе после NFSv3 на Linux NFS небезопасен. Вы можете либо построить частную сеть NFS, либо использовать безопасный NFSv4.
решение2
Решите, что вы хотите сделать:
- независимая от приложений и более «общая» сетевая безопасность, реализуемая iptables на сервере NFS
- безопасность приложений, реализованная nfsd на сервере NFS
- или оба.
В NFS вы предоставляете каталог, доступный только для чтения, определенному клиенту следующим образом:
echo "/mynfs clt.xmpl.com(sync)" >> /etc/exports.d/my-ro.exports
exportfs -r