經過一番研究,似乎在我的 Debian Xen 主機和其上的虛擬機器之間共享檔案的最佳方式是使用 NFS。
如何保護 NFS 以便只有指定的虛擬機器才能存取它?使用 IP 位址也是iptables可行的,但它看起來不是最安全的方法。我可以在介面上阻止 NFS並允許使用該介面bond0在主機和虛擬機器之間使用 NFS嗎?xenbr0這是我的/etc/network/interfaces配置:
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# network interfaces
auto eth0
iface eth0 inet manual
bondmaster bond0
auto eth1
iface eth1 inet manual
bondmaster bond0
#lacp bonded interface
auto bond0
iface bond0 inet manual
bond-mode 4
bond-miimon 100
bond-lacp-rate 1
bond-slaves eth0 eth1
#xen bridge
auto xenbr0
iface xenbr0 inet static
bridge_ports bond0
address 10.0.0.12
gateway 10.0.0.1
netmask 255.255.255.0
答案1
首先我會使用 sshfs。
其次,Linux 上的 NFSv3 之前的 NFS 是不安全的。您可以建立私有 NFS 網路或使用安全 NFSv4。
答案2
決定你想做什麼:
- 由 NFS 伺服器上的 iptables 完成的獨立於應用程式且更「通用」的網路安全
- 由 NFS 伺服器上的 nfsd 完成的應用程式特定安全性
- 或兩者。
在 NFS 中,您可以將唯讀目錄共用給特定客戶端,如下所示:
echo "/mynfs clt.xmpl.com(sync)" >> /etc/exports.d/my-ro.exports
exportfs -r