Configurar la squash raíz para Azure Files
El sistema operativo cliente aplica permisos para recursos compartidos de archivos NFS en lugar del servicio Azure Files. La squash raíz es una característica de seguridad administrativa de NFS que impide el acceso de nivel de raíz no autorizado al servidor NFS por parte de las máquinas cliente. Esta funcionalidad es una parte importante de la protección de los datos de usuario y la configuración del sistema frente a la manipulación por parte de clientes no confiables o que pueden representar un peligro.
Los administradores deben habilitar la squash raíz en entornos en los que varios usuarios o sistemas acceden al recurso compartido NFS, especialmente en escenarios en los que las máquinas cliente no son de plena confianza. Al convertir usuarios raíz en usuarios anónimos, la squash raíz garantiza que, incluso si una máquina cliente está en peligro, el atacante no pueda aprovechar los privilegios raíz para acceder o modificar archivos críticos en el servidor NFS.
En este artículo, aprenderá a configurar y cambiar la configuración de squash raíz para recursos compartidos de archivos de Azure mediante NFS.
Se aplica a
| Tipo de recurso compartido de archivos | SMB | NFS |
|---|---|---|
| Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS |  |
|
| Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS | |
|
| Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS | |
 |
Funcionamiento de la squash raíz con Azure Files
La squash raíz funciona reasignando el identificador de usuario (UID) y el identificador de grupo (GID) del usuario raíz a un UID y GID que pertenecen al usuario anónimo en el servidor. Los usuarios raíz que acceden al sistema de archivos se convierten automáticamente en el usuario o grupo anónimos con menos privilegios y que tiene permisos limitados.
Aunque la squash raíz es el comportamiento predeterminado en NFS, no es la opción predeterminada al crear un recurso compartido de archivos de Azure mediante NFS. Debe habilitar explícitamente la squash raíz en el recurso compartido de archivos. Puede hacerlo al crear un recurso compartido de archivos de Azure mediante NFS o más adelante.
Configuración de la squash raíz
Puede elegir entre tres configuraciones de squash raíz:
- Sin squash raíz: desactivar la squash raíz. Esta opción es principalmente útil para clientes o cargas de trabajo sin disco, tal como se especifica en la documentación de la carga de trabajo. Esta es la configuración predeterminada al crear un nuevo recurso compartido de archivos de Azure mediante NFS.
- Todo squash: asignar todos los UID y GID al usuario anónimo. Resulta útil para los recursos compartidos que requieren acceso de solo lectura por parte de todos los clientes.
- Squash raíz: asignar solicitudes de UID/GID 0 (raíz) al UID/GID anónimo. Esto no se aplica a otros UID o GID que puedan ser igualmente confidenciales, como el rango de usuario o el personal de grupo.
En la tabla siguiente se resalta el comportamiento de UID observado desde el servidor cuando se configuran opciones específicas de squash raíz.
| Opción | UID de cliente | UID del servidor |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1 000 | 1 000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1 000 | 1 000 |
| all_squash | 0 | 65534 |
| all_squash | 1 000 | 65534 |
Configurar la squash raíz en un recurso compartido de archivos NFS existente
Puede configurar las opciones de squash raíz a través de Azure Portal, Azure PowerShell o la CLI de Azure.
Inicie sesión en Azure Portal y vaya a la cuenta de almacenamiento FileStorage que contiene el recurso compartido de archivos de Azure mediante NFS.
En el menú de servicio, en Almacenamiento de datos, seleccione Recursos compartidos de archivos.
Seleccione el recurso compartido de archivos para el que desea modificar la configuración de squash raíz.
En el menú Servicio, seleccione Propiedades. A continuación, cambie la configuración de squash raíz como desee.
Seleccione Guardar para actualizar el valor de squash raíz.
