Root squash configureren voor Azure Files
Machtigingen voor NFS-bestandsshares worden afgedwongen door het client-besturingssysteem in plaats van de Azure Files-service. Root squash is een beheerbeveiligingsfunctie in NFS die onbevoegde toegang op hoofdniveau tot de NFS-server door clientcomputers voorkomt. Deze functionaliteit is een belangrijk onderdeel van het beveiligen van gebruikersgegevens en systeeminstellingen tegen manipulatie door niet-vertrouwde of gecompromitteerde clients.
Beheerders moeten root-squash inschakelen in omgevingen waar meerdere gebruikers of systemen toegang hebben tot de NFS-share, met name in scenario's waarin clientcomputers niet volledig worden vertrouwd. Door hoofdgebruikers te converteren naar anonieme gebruikers, zorgt root squash ervoor dat zelfs als een clientcomputer is aangetast, de aanvaller geen gebruik kan maken van hoofdbevoegdheden voor toegang tot of wijzigen van kritieke bestanden op de NFS-server.
In dit artikel leert u hoe u root-squashinstellingen voor NFS Azure-bestandsshares configureert en wijzigt.
Van toepassing op
| Bestands sharetype | SMB | NFS |
|---|---|---|
| Standaardbestandsshares (GPv2), LRS/ZRS |  |
|
| Standaardbestandsshares (GPv2), GRS/GZRS | |
|
| Premium bestandsshares (FileStorage), LRS/ZRS | |
 |
Hoe root squash werkt met Azure Files
Root squash werkt door de gebruikers-id (UID) en de groeps-id (GID) van de hoofdgebruiker opnieuw toe te kennen aan een UID en GID die behoren tot de anonieme gebruiker op de server. Hoofdgebruikers die toegang hebben tot het bestandssysteem, worden automatisch geconverteerd naar de anonieme, minder bevoegde gebruiker/groep met beperkte machtigingen.
Hoewel root squash het standaardgedrag in NFS is, is dit niet de standaardoptie bij het maken van een NFS Azure-bestandsshare. U moet root squash expliciet inschakelen op de bestandsshare. U kunt dit doen wanneer u een NFS Azure-bestandsshare maakt of later.
Root squashinstellingen
U kunt kiezen uit drie root squashinstellingen:
- Geen root squash: schakel root squashen uit. Deze optie is voornamelijk handig voor schijfloze clients of workloads, zoals is opgegeven in de workloaddocumentatie. Dit is de standaardinstelling bij het maken van een nieuwe NFS Azure-bestandsshare.
- Alle squash: wijs alle UID's en GID's toe aan de anonieme gebruiker. Handig voor shares waarvoor alleen-lezentoegang door alle clients is vereist.
- Root squash: Wijs aanvragen van UID/GID 0 (root) toe aan de anonieme UID/GID. Dit geldt niet voor andere UID's of GID's die mogelijk even gevoelig zijn, zoals gebruikersbak of groepspersoneel.
In de volgende tabel wordt het waargenomen UID-gedrag van de server gemarkeerd wanneer specifieke root-squashopties zijn geconfigureerd.
| Optie | Client UID | Server UID |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Root squash configureren op een bestaande NFS-bestandsshare
U kunt root squash-instellingen configureren via Azure Portal, Azure PowerShell of Azure CLI.
Meld u aan bij Azure Portal en navigeer naar het FileStorage-opslagaccount met de NFS Azure-bestandsshare.
Selecteer in het servicemenu onder Gegevensopslag de optie Bestandsshares.
Selecteer de bestandsshare waarvoor u de root squash-instelling wilt wijzigen.
Selecteer Eigenschappen in het servicemenu. Schakel vervolgens de root-squashinstelling naar wens in.
Selecteer Opslaan om de root squashwaarde bij te werken.
