Udostępnij za pośrednictwem


Konfigurowanie głównego squasha dla usługi Azure Files

Uprawnienia do udziałów plików NFS są wymuszane przez system operacyjny klienta, a nie usługę Azure Files. Root squash to funkcja zabezpieczeń administracyjnych w systemie plików NFS, która uniemożliwia nieautoryzowany dostęp na poziomie głównym do serwera NFS przez maszyny klienckie. Ta funkcja jest ważną częścią ochrony danych użytkownika i ustawień systemu przed manipulowaniem przez niezaufanych lub naruszonych klientów.

Administratorzy powinni włączyć root squash w środowiskach, w których wielu użytkowników lub systemów uzyskuje dostęp do udziału NFS, szczególnie w scenariuszach, w których maszyny klienckie nie są w pełni zaufane. Konwertując użytkowników głównych na użytkowników anonimowych, root squash gwarantuje, że nawet w przypadku naruszenia zabezpieczeń maszyny klienckiej osoba atakująca nie może wykorzystać uprawnień administratora w celu uzyskania dostępu do lub zmodyfikowania plików krytycznych na serwerze NFS.

Z tego artykułu dowiesz się, jak skonfigurować i zmienić ustawienia root squash dla udziałów plików platformy Azure NFS.

Dotyczy

Typ udziału plików SMB NFS
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS Nie, ten artykuł nie ma zastosowania do standardowych udziałów plików SMB platformy Azure LRS/ZRS. Udziały NFS są dostępne tylko w udziałach plików platformy Azure w warstwie Premium.
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS Nie, ten artykuł nie ma zastosowania do standardowych udziałów plików SMB platformy Azure GRS/GZRS. System plików NFS jest dostępny tylko w udziałach plików platformy Azure w warstwie Premium.
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS Nie, ten artykuł nie dotyczy udziałów plików platformy Azure SMB w warstwie Premium. Tak, ten artykuł dotyczy udziałów plików platformy Azure w warstwie Premium NFS.

Jak działa root squash z usługą Azure Files

Root squash działa przez ponowne mapowanie identyfikatora użytkownika (UID) i identyfikator grupy (GID) użytkownika głównego na identyfikator UID i GID należący do anonimowego użytkownika na serwerze. Użytkownicy root, którzy uzyskują dostęp do systemu plików, są automatycznie konwertowani na anonimowego, mniej uprzywilejowanego użytkownika/grupy z ograniczonymi uprawnieniami.

Mimo że root squash jest zachowaniem domyślnym w systemie plików NFS, nie jest to opcja domyślna podczas tworzenia udziału plików platformy Azure NFS. Należy jawnie włączyć root squash w udziale plików. Można to zrobić podczas tworzenia udziału plików platformy Azure NFS lub nowszego.

Ustawienia głównego squasha

Możesz wybrać spośród trzech ustawień głównego squasha:

  • Brak squasha głównego: Wyłącz root squashing. Ta opcja jest przydatna głównie w przypadku klientów bez dysków lub obciążeń określonych w dokumentacji obciążenia. Jest to ustawienie domyślne podczas tworzenia nowego udziału plików platformy Azure NFS.
  • Wszystkie elementy squash: mapuj wszystkie identyfikatory UID i identyfikatory GID na anonimowego użytkownika. Przydatne w przypadku udziałów, które wymagają dostępu tylko do odczytu przez wszystkich klientów.
  • Squash główny: mapuj żądania z UID/GID 0 (root) na anonimowy identyfikator UID/GID. Nie dotyczy to żadnych innych identyfikatorów UID ani GID, które mogą być równie wrażliwe, takie jak pojemnik użytkownika lub personel grupy.

W poniższej tabeli przedstawiono zachowanie UID obserwowane na serwerze, gdy są skonfigurowane określone opcje squasha głównego.

Opcja Identyfikator UID klienta Identyfikator UID serwera
root_squash 0 65534
root_squash 1000 1000
no_root_squash 0 0
no_root_squash 1000 1000
all_squash 0 65534
all_squash 1000 65534

Konfigurowanie głównego squasha w istniejącym udziale plików NFS

Ustawienia głównego squasha można skonfigurować za pośrednictwem witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

  1. Zaloguj się do witryny Azure Portal i przejdź do konta magazynu FileStorage zawierającego udział plików platformy Azure NFS.

  2. W menu usługi w obszarze Magazyn danych wybierz pozycję Udziały plików.

  3. Wybierz udział plików, dla którego chcesz zmodyfikować ustawienie głównego squasha.

  4. W menu usługi wybierz pozycję Właściwości. Następnie przełącz ustawienie Root squash zgodnie z potrzebami.

    Zrzut ekranu przedstawiający sposób konfigurowania ustawień głównego squasha dla udziału plików NFS w witrynie Azure Portal.

  5. Wybierz pozycję Zapisz , aby zaktualizować wartość głównego squasha.

Zobacz też