Konfigurowanie głównego squasha dla usługi Azure Files
Uprawnienia do udziałów plików NFS są wymuszane przez system operacyjny klienta, a nie usługę Azure Files. Root squash to funkcja zabezpieczeń administracyjnych w systemie plików NFS, która uniemożliwia nieautoryzowany dostęp na poziomie głównym do serwera NFS przez maszyny klienckie. Ta funkcja jest ważną częścią ochrony danych użytkownika i ustawień systemu przed manipulowaniem przez niezaufanych lub naruszonych klientów.
Administratorzy powinni włączyć root squash w środowiskach, w których wielu użytkowników lub systemów uzyskuje dostęp do udziału NFS, szczególnie w scenariuszach, w których maszyny klienckie nie są w pełni zaufane. Konwertując użytkowników głównych na użytkowników anonimowych, root squash gwarantuje, że nawet w przypadku naruszenia zabezpieczeń maszyny klienckiej osoba atakująca nie może wykorzystać uprawnień administratora w celu uzyskania dostępu do lub zmodyfikowania plików krytycznych na serwerze NFS.
Z tego artykułu dowiesz się, jak skonfigurować i zmienić ustawienia root squash dla udziałów plików platformy Azure NFS.
Dotyczy
Typ udziału plików | SMB | NFS |
---|---|---|
Udziały plików w warstwie Standardowa (GPv2), LRS/ZRS | ||
Udziały plików w warstwie Standardowa (GPv2), GRS/GZRS | ||
Udziały plików w warstwie Premium (FileStorage), LRS/ZRS |
Jak działa root squash z usługą Azure Files
Root squash działa przez ponowne mapowanie identyfikatora użytkownika (UID) i identyfikator grupy (GID) użytkownika głównego na identyfikator UID i GID należący do anonimowego użytkownika na serwerze. Użytkownicy root, którzy uzyskują dostęp do systemu plików, są automatycznie konwertowani na anonimowego, mniej uprzywilejowanego użytkownika/grupy z ograniczonymi uprawnieniami.
Mimo że root squash jest zachowaniem domyślnym w systemie plików NFS, nie jest to opcja domyślna podczas tworzenia udziału plików platformy Azure NFS. Należy jawnie włączyć root squash w udziale plików. Można to zrobić podczas tworzenia udziału plików platformy Azure NFS lub nowszego.
Ustawienia głównego squasha
Możesz wybrać spośród trzech ustawień głównego squasha:
- Brak squasha głównego: Wyłącz root squashing. Ta opcja jest przydatna głównie w przypadku klientów bez dysków lub obciążeń określonych w dokumentacji obciążenia. Jest to ustawienie domyślne podczas tworzenia nowego udziału plików platformy Azure NFS.
- Wszystkie elementy squash: mapuj wszystkie identyfikatory UID i identyfikatory GID na anonimowego użytkownika. Przydatne w przypadku udziałów, które wymagają dostępu tylko do odczytu przez wszystkich klientów.
- Squash główny: mapuj żądania z UID/GID 0 (root) na anonimowy identyfikator UID/GID. Nie dotyczy to żadnych innych identyfikatorów UID ani GID, które mogą być równie wrażliwe, takie jak pojemnik użytkownika lub personel grupy.
W poniższej tabeli przedstawiono zachowanie UID obserwowane na serwerze, gdy są skonfigurowane określone opcje squasha głównego.
Opcja | Identyfikator UID klienta | Identyfikator UID serwera |
---|---|---|
root_squash | 0 | 65534 |
root_squash | 1000 | 1000 |
no_root_squash | 0 | 0 |
no_root_squash | 1000 | 1000 |
all_squash | 0 | 65534 |
all_squash | 1000 | 65534 |
Konfigurowanie głównego squasha w istniejącym udziale plików NFS
Ustawienia głównego squasha można skonfigurować za pośrednictwem witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Zaloguj się do witryny Azure Portal i przejdź do konta magazynu FileStorage zawierającego udział plików platformy Azure NFS.
W menu usługi w obszarze Magazyn danych wybierz pozycję Udziały plików.
Wybierz udział plików, dla którego chcesz zmodyfikować ustawienie głównego squasha.
W menu usługi wybierz pozycję Właściwości. Następnie przełącz ustawienie Root squash zgodnie z potrzebami.
Wybierz pozycję Zapisz , aby zaktualizować wartość głównego squasha.