Configurar o squash raiz para Arquivos do Azure
As permissões para compartilhamentos de arquivos NFS são impostas pelo sistema operacional cliente em vez do serviço Arquivos do Azure. O squash raiz é um recurso de segurança administrativa no NFS que impede o acesso não autorizado em nível de raiz ao servidor NFS por máquinas cliente. Essa funcionalidade é uma parte importante da proteção dos dados do usuário e das configurações do sistema contra manipulação por clientes não confiáveis ou comprometidos.
Os administradores devem habilitar o squash raiz em ambientes onde vários usuários ou sistemas acessam o compartilhamento NFS, especialmente em cenários em que as máquinas clientes não são totalmente confiáveis. Ao converter usuários root em usuários anônimos, o root squash garante que, mesmo que uma máquina cliente seja comprometida, o invasor não poderá explorar privilégios de root para acessar ou modificar arquivos críticos no servidor NFS.
Neste artigo, você aprenderá a configurar e alterar as configurações de squash raiz para compartilhamentos de arquivos do Azure NFS.
Aplica-se a
| Tipo de partilhas de ficheiros | SMB | NFS |
|---|---|---|
| Partilhas de ficheiros Standard (GPv2), LRS/ZRS |  |
|
| Partilhas de ficheiros Standard (GPv2), GRS/GZRS | |
|
| Partilhas de ficheiros Premium (FileStorage), LRS/ZRS | |
 |
Como o squash raiz funciona com os Arquivos do Azure
O squash raiz funciona remapeando o ID de usuário (UID) e o ID de grupo (GID) do usuário raiz para um UID e GID pertencentes ao usuário anônimo no servidor. Os usuários raiz que acessam o sistema de arquivos são automaticamente convertidos para o usuário/grupo anônimo e menos privilegiado com permissões limitadas.
Embora o squash raiz seja o comportamento padrão no NFS, ele não é a opção padrão ao criar um compartilhamento de arquivos do Azure NFS. Você deve habilitar explicitamente o squash raiz no compartilhamento de arquivos. Você pode fazer isso ao criar um compartilhamento de arquivos do Azure NFS ou posteriormente.
Configurações de squash raiz
Você pode escolher entre três configurações de squash raiz:
- Sem abóbora raiz: desative o esmagamento de raízes. Essa opção é útil principalmente para clientes sem disco ou cargas de trabalho, conforme especificado pela documentação da carga de trabalho. Essa é a configuração padrão ao criar um novo compartilhamento de arquivos do Azure NFS.
- All squash: Mapeie todos os UIDs e GIDs para o usuário anônimo. Útil para compartilhamentos que exigem acesso somente leitura por todos os clientes.
- Root squash: mapeie solicitações de UID/GID 0 (root) para o UID/GID anônimo. Isso não se aplica a quaisquer outros UIDs ou GIDs que possam ser igualmente sensíveis, como compartimento de usuário ou equipe de grupo.
A tabela a seguir destaca o comportamento do UID observado no servidor quando opções específicas de squash raiz são configuradas.
| Opção | UID do cliente | UID do servidor |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Configurar o squash raiz em um compartilhamento de arquivos NFS existente
Você pode definir as configurações de squash raiz por meio do portal do Azure, do Azure PowerShell ou da CLI do Azure.
Entre no portal do Azure e navegue até a conta de armazenamento FileStorage que contém o compartilhamento de arquivos do Azure NFS.
No menu de serviço, em Armazenamento de dados, selecione Compartilhamentos de arquivos.
Selecione o compartilhamento de arquivos para o qual você deseja modificar a configuração de squash raiz.
No menu de serviço, selecione Propriedades. Em seguida, alterne a configuração Root squash conforme desejado.
Selecione Salvar para atualizar o valor de squash raiz.
