如何才能最好地保护 Debian 上的 Xen 主机和虚拟机之间的 NFS?

如何才能最好地保护 Debian 上的 Xen 主机和虚拟机之间的 NFS?

经过一些研究,似乎在我的 Debian Xen 主机和其上的虚拟机之间共享文件的最佳方式是使用 NFS。

如何保护 NFS,以便只有指定的 VM 可以访问它?使用 IP 地址可以iptables工作,但它似乎并不是最安全的方法。我可以在我的bond0接口上阻止 NFS,并允许它在主机和使用该接口的虚拟机之间访问吗xenbr0?这是我的/etc/network/interfaces配置:

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# network interfaces
auto eth0
iface eth0 inet manual
   bondmaster bond0

auto eth1
iface eth1 inet manual
   bondmaster bond0

#lacp bonded interface
auto bond0
iface bond0 inet manual
   bond-mode 4
   bond-miimon 100
   bond-lacp-rate 1
   bond-slaves eth0 eth1

#xen bridge
auto xenbr0
iface xenbr0 inet static
   bridge_ports bond0
   address 10.0.0.12
   gateway 10.0.0.1
   netmask 255.255.255.0

答案1

首先我会使用 sshfs。

其次,Linux 上的 NFSv3 NFS 不安全。您可以构建私有 NFS 网络或使用安全的 NFSv4。

答案2

决定你想做什么:

  • NFS 服务器上的 iptables 实现了独立于应用程序且更“通用”的网络安全
  • 由 NFS 服务器上的 nfsd 实现的特定于应用程序的安全性
  • 或两者。

在 NFS 中,您可以以只读方式将目录共享给特定客户端,如下所示:

echo "/mynfs clt.xmpl.com(sync)" >> /etc/exports.d/my-ro.exports
exportfs -r

相关内容