Compartir vía


Configurar la squash raíz para Azure Files

El sistema operativo cliente aplica permisos para recursos compartidos de archivos NFS en lugar del servicio Azure Files. La squash raíz es una característica de seguridad administrativa de NFS que impide el acceso de nivel de raíz no autorizado al servidor NFS por parte de las máquinas cliente. Esta funcionalidad es una parte importante de la protección de los datos de usuario y la configuración del sistema frente a la manipulación por parte de clientes no confiables o que pueden representar un peligro.

Los administradores deben habilitar la squash raíz en entornos en los que varios usuarios o sistemas acceden al recurso compartido NFS, especialmente en escenarios en los que las máquinas cliente no son de plena confianza. Al convertir usuarios raíz en usuarios anónimos, la squash raíz garantiza que, incluso si una máquina cliente está en peligro, el atacante no pueda aprovechar los privilegios raíz para acceder o modificar archivos críticos en el servidor NFS.

En este artículo, aprenderá a configurar y cambiar la configuración de squash raíz para recursos compartidos de archivos de Azure mediante NFS.

Se aplica a

Tipo de recurso compartido de archivos SMB NFS
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS No, este artículo no se aplica a los recursos compartidos de archivos SMB estándar de LRS/ZRS de Azure. NFS solo está disponible en los recursos compartidos de archivos premium de Azure.
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS No, este artículo no se aplica a los recursos compartidos de archivos SMB estándar de Azure GRS/GZRS. NFS solo están disponibles en recurso compartido de archivos premium de Azure.
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS No, este artículo no se aplica a los recursos compartidos de archivos premium SMB de Azure. Sí, este artículo se aplica a los recursos compartidos de archivos premium NFS de Azure.

Funcionamiento de la squash raíz con Azure Files

La squash raíz funciona reasignando el identificador de usuario (UID) y el identificador de grupo (GID) del usuario raíz a un UID y GID que pertenecen al usuario anónimo en el servidor. Los usuarios raíz que acceden al sistema de archivos se convierten automáticamente en el usuario o grupo anónimos con menos privilegios y que tiene permisos limitados.

Aunque la squash raíz es el comportamiento predeterminado en NFS, no es la opción predeterminada al crear un recurso compartido de archivos de Azure mediante NFS. Debe habilitar explícitamente la squash raíz en el recurso compartido de archivos. Puede hacerlo al crear un recurso compartido de archivos de Azure mediante NFS o más adelante.

Configuración de la squash raíz

Puede elegir entre tres configuraciones de squash raíz:

  • Sin squash raíz: desactivar la squash raíz. Esta opción es principalmente útil para clientes o cargas de trabajo sin disco, tal como se especifica en la documentación de la carga de trabajo. Esta es la configuración predeterminada al crear un nuevo recurso compartido de archivos de Azure mediante NFS.
  • Todo squash: asignar todos los UID y GID al usuario anónimo. Resulta útil para los recursos compartidos que requieren acceso de solo lectura por parte de todos los clientes.
  • Squash raíz: asignar solicitudes de UID/GID 0 (raíz) al UID/GID anónimo. Esto no se aplica a otros UID o GID que puedan ser igualmente confidenciales, como el rango de usuario o el personal de grupo.

En la tabla siguiente se resalta el comportamiento de UID observado desde el servidor cuando se configuran opciones específicas de squash raíz.

Opción UID de cliente UID del servidor
root_squash 0 65534
root_squash 1 000 1 000
no_root_squash 0 0
no_root_squash 1 000 1 000
all_squash 0 65534
all_squash 1 000 65534

Configurar la squash raíz en un recurso compartido de archivos NFS existente

Puede configurar las opciones de squash raíz a través de Azure Portal, Azure PowerShell o la CLI de Azure.

  1. Inicie sesión en Azure Portal y vaya a la cuenta de almacenamiento FileStorage que contiene el recurso compartido de archivos de Azure mediante NFS.

  2. En el menú de servicio, en Almacenamiento de datos, seleccione Recursos compartidos de archivos.

  3. Seleccione el recurso compartido de archivos para el que desea modificar la configuración de squash raíz.

  4. En el menú Servicio, seleccione Propiedades. A continuación, cambie la configuración de squash raíz como desee.

    Captura de pantalla que muestra cómo configurar las opciones de squash raíz para un recurso compartido de archivos NFS en Azure Portal.

  5. Seleccione Guardar para actualizar el valor de squash raíz.

Consulte también