Konfigurieren von Root-Squash für Azure Files
Berechtigungen für NFS-Dateifreigaben werden nicht vom Azure Files-Dienst, sondern vom Clientbetriebssystem erzwungen. Root-Squash ist ein administratives Sicherheitsfeature in NFS, das nicht autorisierte NFS-Serverzugriffe durch Clientcomputer auf der Stammebene verhindert. Diese Funktion trägt entscheidend dazu bei, Benutzerdaten und Systemeinstellungen vor Manipulation durch kompromittierte oder nicht vertrauenswürdige Clients zu schützen.
Administratoren sollten Root-Squash in Umgebungen aktivieren, in denen mehrere Benutzer oder Systeme auf die NFS-Freigabe zugreifen. Das gilt insbesondere in Szenarien, in denen Clientcomputer nicht uneingeschränkt vertrauenswürdig sind. Durch das Konvertieren von Root-Benutzern in anonyme Benutzer stellt Root-Squash sicher, dass ein Angreifer selbst dann, wenn ein Clientcomputer kompromittiert ist, keine Root-Berechtigungen ausnutzen kann, um auf kritische Dateien auf dem NFS-Server zuzugreifen oder diese zu ändern.
In diesem Artikel erfahren Sie, wie Sie Root-Squash-Einstellungen für NFS-Azure-Dateifreigaben konfigurieren und ändern.
Gilt für:
| Dateifreigabetyp | SMB | NFS |
|---|---|---|
| Standard-Dateifreigaben (GPv2), LRS/ZRS |  |
|
| Standard-Dateifreigaben (GPv2), GRS/GZRS | |
|
| Premium-Dateifreigaben (FileStorage), LRS/ZRS | |
 |
Zusammenarbeit von Root-Squash und Azure Files
Root-Squash ordnet die Benutzer-ID (User ID, UID) und die Gruppen-ID (GID) des Root-Benutzers einer UID und GID zu, die zum anonymen Benutzer auf dem Server gehören. Root-Benutzer, die auf das Dateisystem zugreifen, werden automatisch in den anonymen, weniger privilegierten Benutzer bzw. in die anonyme Gruppe mit eingeschränkten Berechtigungen konvertiert.
Root-Squash ist zwar das Standardverhalten in NFS, es ist aber nicht die Standardoption beim Erstellen einer NFS-Azure-Dateifreigabe. Root-Squash muss explizit für die Dateifreigabe aktiviert werden. Dieser Schritt kann beim Erstellen einer NFS-Azure-Dateifreigabe oder auch später durchgeführt werden.
Root-Squash-Einstellungen
Es stehen drei Root-Squash-Einstellungen zur Auswahl:
- Kein Root-Squash: Deaktiviert das Root-Squashing. Diese Option ist hauptsächlich für datenträgerlose Clients oder Workloads nützlich, wie in der Workloaddokumentation angegeben. Dies ist die Standardeinstellung beim Erstellen einer neuen NFS-Azure-Dateifreigabe.
- All-Squash: Ordnet alle UIDs und GIDs dem anonymen Benutzer zu. Nützlich für Freigaben, die schreibgeschützten Zugriff von allen Clients erfordern.
- Root-Squash: Ordnet Anforderungen von der UID/GID 0 (Root) der anonymen UID/GID zu. Gilt nicht für andere UIDs oder GIDs, die ebenso heikel sein können (z. B. Benutzercontainer oder Gruppenmitarbeiter).
Die folgende Tabelle enthält das UID-Verhalten des Servers, wenn bestimmte Root-Squash-Optionen konfiguriert sind:
| Option | Client-UID | Server-UID |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1.000 | 65534 |
Konfigurieren von Root-Squash für eine bereits vorhandene NFS-Dateifreigabe
Root-Squash-Einstellungen können über das Azure-Portal, über die Azure CLI oder per Azure PowerShell konfiguriert werden.
Melden Sie sich beim Azure-Portal an, und navigieren Sie zum FileStorage-Speicherkonto mit der NFS-Azure-Dateifreigabe.
Wählen Sie im Dienstmenüunter Datenspeicher die Option Dateifreigaben aus.
Wählen Sie die Dateifreigabe aus, für die Sie die Root-Squash-Einstellungen ändern möchten.
Wählen Sie im Dienstmenü die Option Eigenschaften aus. Legen Sie dann die Einstellung Root-Squash wie gewünscht fest.
Wählen Sie Speichern aus, um den Root-Squash-Wert zu aktualisieren.
