Konfigurace kořenového squashu pro Azure Files

Oprávnění ke sdíleným složkám NFS se vynucují klientským operačním systémem místo služby Azure Files. Root squash je funkce zabezpečení správy systému souborů NFS, která brání neoprávněnému přístupu na úrovni kořenového adresáře k serveru NFS klientskými počítači. Tato funkce je důležitou součástí ochrany uživatelských dat a nastavení systému před manipulací nedůvěryhodnými nebo ohroženými klienty.

Správci by měli povolit root squash v prostředích, kde více uživatelů nebo systémů přistupuje ke sdílené složce NFS, zejména ve scénářích, kdy klientské počítače nejsou plně důvěryhodné. Převodem uživatele root na anonymní uživatele zajišťuje root squash, že i když dojde k ohrožení zabezpečení klientského počítače, útočník nemůže zneužít kořenová oprávnění pro přístup k důležitým souborům na serveru NFS ani je upravovat.

V tomto článku se dozvíte, jak nakonfigurovat a změnit nastavení root squash pro sdílené složky Azure NFS.

Platí pro

Model správy	Model fakturace	Mediální vrstva	Přebytečnost
Sdílené soubory	Zajištěno v2	SSD (Premium)	Místní (LRS)
Sdílené soubory	Zajištěno v2	SSD (Premium)	Zóna (ZRS)
Microsoft.Storage	Zajištěno v2	HDD (standard)	Místní (LRS)
Microsoft.Storage	Zajištěno v2	HDD (standard)	Zóna (ZRS)
Microsoft.Storage	Zajištěno v2	HDD (standard)	Geografická oblast (GRS)
Microsoft.Storage	Zajištěno v2	HDD (standard)	GeoZone (GZRS)
Microsoft.Storage	Poskytnuto v1	SSD (Premium)	Místní (LRS)
Microsoft.Storage	Poskytnuto v1	SSD (Premium)	Zóna (ZRS)
Microsoft.Storage	Platba dle skutečné spotřeby	HDD (standard)	Místní (LRS)
Microsoft.Storage	Platba dle skutečné spotřeby	HDD (standard)	Zóna (ZRS)
Microsoft.Storage	Platba dle skutečné spotřeby	HDD (standard)	Geografická oblast (GRS)
Microsoft.Storage	Platba dle skutečné spotřeby	HDD (standard)	GeoZone (GZRS)

Jak root squash funguje se službou Azure Files

Root squash funguje tak, že znovu namapuje ID uživatele (UID) a ID skupiny (GID) kořenového uživatele na UID a GID patřící anonymnímu uživateli na serveru. Root uživatelé, kteří přistupují k systému souborů, se automaticky převedou na anonymní uživatele nebo skupinu s omezenými oprávněními.

Ačkoliv je funkce "root squash" výchozím chováním v NFS, není to přednastavená volba při vytváření sdíleného souborového prostoru Azure NFS. U sdílené složky musíte explicitně povolit root squash. Můžete to udělat, když vytvoříte sdílenou složku Azure NFS nebo později.

Nastavení root squashe

Můžete si vybrat ze tří nastavení squashu root:

Bez root squash: Vypněte root squash. Tato možnost je užitečná hlavně pro klienty bez disku nebo úlohy určené dokumentací k úlohám. Toto je výchozí nastavení při vytváření nové sdílené složky Azure NFS.
Pro všechny squash: Namapujte všechny UID a GID na anonymního uživatele. Užitečné pro sdílené složky, které vyžadují přístup jen pro čtení všemi klienty.
Root squash: Mapujte požadavky z UID/GID 0 (root) na anonymní UID/GID. Nevztahuje se to na žádné jiné identifikátory UID nebo GID, které můžou být stejně citlivé, jako je uživatel bin nebo skupina staff.

Následující tabulka zvýrazňuje chování UID zjištěné na serveru při konfiguraci konkrétních možností root squashu.

Možnost	UID klienta	UID serveru
root_squash	0	65534
root_squash	1 000	1 000
no_root_squash	0	0
no_root_squash	1 000	1 000
all_squash	0	65534
all_squash	1 000	65534

Nastavení root squashu můžete nakonfigurovat prostřednictvím webu Azure Portal, Azure PowerShellu nebo Azure CLI.

Přihlaste se k webu Azure Portal a přejděte na účet úložiště FileStorage obsahující sdílenou složku NFS Azure.
V nabídce služby v části Úložiště dat vyberte Sdílené složky.
Vyberte sdílený souborový úložiště, jehož nastavení root squash chcete upravit.
V nabídce služby vyberte Vlastnosti. Potom podle potřeby přepněte nastavení root squash .
Chcete-li aktualizovat kořenovou hodnotu squashu, vyberte Uložit .

Přihlaste se k Azure a vyberte své předplatné.

Connect-AzAccount
Select-AzSubscription -SubscriptionId "<your-subscription-id>"

Pokud chcete povolit root squash ve sdílené složce, spusťte následující příkaz. Nahraďte <resource-group-name>, <storage-account-name> a <file-share-name> svými vlastními hodnotami.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash RootSquash
```
Pokud chcete zakázat root squash ve sdílené složce, spusťte následující příkaz. Nahraďte <resource-group-name>, <storage-account-name> a <file-share-name> svými vlastními hodnotami.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash NoRootSquash
```
Pokud chcete vynutit squash pro všechny uživatele, spuštěním následujícího příkazu namapujte všechna ID uživatelů na anonymní. Nahraďte <resource-group-name>, <storage-account-name> a <file-share-name> svými vlastními hodnotami.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash AllSquash
```

Pokud chcete zobrazit kořenovou vlastnost squash pro sdílenou složku, spusťte následující příkaz. Nahraďte <resource-group-name>, <storage-account-name> a <file-share-name> svými vlastními hodnotami.

Get-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash

Přihlaste se k Azure a nastavte své předplatné.

az login
az account set --subscription "<your-subscription-id>"

Pokud chcete povolit root squash ve sdílené složce, spusťte následující příkaz. Nahraďte <resource-group-name>, <storage-account-name> a <file-share-name> svými vlastními hodnotami.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash RootSquash 
```
Pokud chcete zakázat root squash ve sdílené složce, spusťte následující příkaz. Nahraďte <resource-group-name>, <storage-account-name> a <file-share-name> svými vlastními hodnotami.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash NoRootSquash 
```
Pokud chcete vynutit squash pro všechny uživatele, spuštěním následujícího příkazu namapujte všechna ID uživatelů na anonymní. Nahraďte <resource-group-name>, <storage-account-name> a <file-share-name> svými vlastními hodnotami.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash AllSquash 
```
Pokud chcete zobrazit kořenovou vlastnost squash pro sdílenou složku, spusťte následující příkaz. Nahraďte <resource-group-name>, <storage-account-name> a <file-share-name> svými vlastními hodnotami.
```
az storage share-rm show \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name>
```

Nastavení kořenového squashu můžete nakonfigurovat u existující sdílené složky NFS (Microsoft.FileShares) prostřednictvím webu Azure Portal.

Přihlaste se k webu Azure Portal a přejděte do sdílené složky.
V nabídce služby v části Nastavení vyberte Konfigurace.
Podle potřeby přepněte nastavení root squash.
Chcete-li aktualizovat kořenovou hodnotu squashu, vyberte Uložit .

Viz také

Sdílené složky Azure NFS

Váš názor

Byla tato stránka užitečná?

Last updated on 2025-09-09

Sdílet prostřednictvím

Konfigurace kořenového squashu pro Azure Files

Platí pro

Jak root squash funguje se službou Azure Files

Nastavení root squashe

Konfigurace kořenového squashu u existující sdílené složky NFS (Microsoft.Storage)

Konfigurace kořenového squashu u existující sdílené složky NFS (Microsoft.FileShares)

Viz také

Váš názor

Další materiály