Konfigurace kořenového squashu pro Azure Files
Oprávnění ke sdíleným složkám NFS se vynucují klientským operačním systémem místo služby Azure Files. Root squash je funkce zabezpečení správy systému souborů NFS, která brání neoprávněnému přístupu na úrovni kořenového adresáře k serveru NFS klientskými počítači. Tato funkce je důležitou součástí ochrany uživatelských dat a nastavení systému před manipulací nedůvěryhodnými nebo ohroženými klienty.
Správci by měli povolit root squash v prostředích, kde více uživatelů nebo systémů přistupuje ke sdílené složce NFS, zejména ve scénářích, kdy klientské počítače nejsou plně důvěryhodné. Převodem uživatele root na anonymní uživatele zajišťuje root squash, že i když dojde k ohrožení zabezpečení klientského počítače, útočník nemůže zneužít kořenová oprávnění pro přístup k důležitým souborům na serveru NFS ani je upravovat.
V tomto článku se dozvíte, jak nakonfigurovat a změnit nastavení kořenové squashe pro sdílené složky Azure NFS.
Platí pro
| Typ sdílené složky | SMB | NFS |
|---|---|---|
| Sdílené složky úrovně Standard (GPv2), LRS/ZRS |  |
|
| Sdílené složky úrovně Standard (GPv2), GRS/GZRS | |
|
| Sdílené složky úrovně Premium (FileStorage), LRS/ZRS | |
 |
Jak root squash funguje se službou Azure Files
Root squash funguje tak, že znovu namapuje ID uživatele (UID) a ID skupiny (GID) kořenového uživatele na UID a GID patřící anonymnímu uživateli na serveru. Root uživatelé, kteří přistupují k systému souborů, se automaticky převedou na anonymní uživatele nebo skupinu s omezenými oprávněními.
I když kořenová squash je výchozím chováním systému souborů NFS, není to výchozí možnost při vytváření sdílené složky Azure NFS. U sdílené složky musíte explicitně povolit root squash. Můžete to udělat, když vytvoříte sdílenou složku Azure NFS nebo později.
Nastavení kořenové squashe
Můžete si vybrat ze tří nastavení squashu root:
- Bez kořenové squashe: Vypněte kořenové squashování. Tato možnost je užitečná hlavně pro klienty bez disku nebo úlohy určené dokumentací k úlohám. Toto je výchozí nastavení při vytváření nové sdílené složky Azure NFS.
- Všechny squash: Namapujte na anonymního uživatele všechny identifikátory UID a IDENTIFIKÁTORy GID. Užitečné pro sdílené složky, které vyžadují přístup jen pro čtení všemi klienty.
- Root squash: Mapujte požadavky z UID/GID 0 (root) na anonymní UID/GID. Nevztahuje se to na žádné jiné identifikátory UI Nebo IDENTIFIKÁTORy GID, které můžou být stejně citlivé, jako je například koš uživatele nebo zaměstnanci skupiny.
Následující tabulka zvýrazňuje chování UID zjištěné na serveru při konfiguraci konkrétních možností root squashu.
| Možnost | UID klienta | UID serveru |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Konfigurace kořenového squashu u existující sdílené složky NFS
Nastavení root squashu můžete nakonfigurovat prostřednictvím webu Azure Portal, Azure PowerShellu nebo Azure CLI.
Přihlaste se k webu Azure Portal a přejděte na účet úložiště FileStorage obsahující sdílenou složku NFS Azure.
V nabídce služby v části Úložiště dat vyberte Sdílené složky.
Vyberte sdílenou složku, pro kterou chcete upravit nastavení kořenové squashe.
V nabídce služby vyberte Vlastnosti. Potom podle potřeby přepněte nastavení root squash .
Chcete-li aktualizovat kořenovou hodnotu squashu, vyberte Uložit .
