我有一个XEN服务器托管一些Windows和Linux客户端,我希望它们能够共享某些文件。所以我决定创建一个VM(目前在fedora linux下运行),它可以完成所有的安装(在这种情况下非常复杂)。我做了所有这一切,以便这个挂载VM包含n个文件夹,每个文件夹一个用于共享文件。这些文件夹内容在内部重叠(使用符号链接)。
我现在的问题是,如何将这些文件夹连接到应该有权访问它们的虚拟机?
但是有一些要求:
1)任何虚拟机都无法访问不应访问的文件夹(假设攻击者是虚拟机上的root用户,某些虚拟机具有网络访问权限。)
2)外面的任何人都无法访问这些文件夹中的任何一个。与外部的连接完全通过防火墙-VM和dom0无法访问网络,因为网卡直接连接到防火墙-VM。所以这不会太难。
在理想情况下,我甚至想根据哪个VM访问某个文件夹来分配不同的权限,但这不是必需的。我更喜欢简单的解决方案,而不是灵活性。
答案 0 :(得分:0)
我提出了解决方案的一部分,我想与您分享我的结果:
我的计划是在独立和匿名模式下使用n个不同的pure-ftpd实例,在不同的端口上进行侦听。我也看了samba和nfs,但这两个解决方案并不容易保证(至少在我看来)。使用FTP,我可以依靠我的防火墙来保护端口。使用FTP而不是例如除了文件访问之外,用户无法控制本地用户帐户。所以潜在的攻击面应该更小。
我现在正在处理端口转发的东西(我的防火墙是iptables)。当我取得进一步进展时,我会告诉你的。