如何在Debian和VM上的Xen主机之间最好地保护NFS?

经过一番研究,似乎在我的Debian Xen主机和虚拟机之间共享文件的最佳方式是使用NFS。

如何保护NFS以便只有指定的虚拟机可以访问它? 使用IP地址和iptables可以工作,但它似乎并不是最安全的方法。 我可以阻止我的bond0接口上的NFS,并允许它在主机和虚拟机之间使用xenbr0接口? 这里是我的/etc/network/interfacesconfiguration:

 source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # network interfaces auto eth0 iface eth0 inet manual bondmaster bond0 auto eth1 iface eth1 inet manual bondmaster bond0 #lacp bonded interface auto bond0 iface bond0 inet manual bond-mode 4 bond-miimon 100 bond-lacp-rate 1 bond-slaves eth0 eth1 #xen bridge auto xenbr0 iface xenbr0 inet static bridge_ports bond0 address 10.0.0.12 gateway 10.0.0.1 netmask 255.255.255.0 

决定你想要做什么:

  • 与NFS服务器上的iptables完成的应用程序无关性和更“通用”的networking安全性
  • NFS服务器上的nfsd完成的特定于应用程序的安全性
  • 或两者。

在NFS中,如下所示,您将共享一个只读目录到特定的客户端:

 echo "/mynfs clt.xmpl.com(sync)" >> /etc/exports.d/my-ro.exports exportfs -r 

首先我会使用sshfs。

其次,Linux上的NFSv3是不安全的。 您可以构build专用NFSnetworking或使用安全的NFSv4。