Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Berechtigungen für NFS-Dateifreigaben werden vom Clientbetriebssystem und nicht vom Azure Files-Dienst erzwungen. Root-Squash ist ein administratives Sicherheitsfeature in NFS, das nicht autorisierte NFS-Serverzugriffe durch Clientcomputer auf der Stammebene verhindert. Diese Funktion trägt entscheidend dazu bei, Benutzerdaten und Systemeinstellungen vor Manipulation durch kompromittierte oder nicht vertrauenswürdige Clients zu schützen.
Administratoren sollten Root-Squash in Umgebungen aktivieren, in denen mehrere Benutzer oder Systeme auf die NFS-Freigabe zugreifen. Das gilt insbesondere in Szenarien, in denen Clientcomputer nicht uneingeschränkt vertrauenswürdig sind. Durch das Konvertieren von Root-Benutzern in anonyme Benutzer stellt Root-Squash sicher, dass ein Angreifer selbst dann, wenn ein Clientcomputer kompromittiert ist, keine Root-Berechtigungen ausnutzen kann, um auf kritische Dateien auf dem NFS-Server zuzugreifen oder diese zu ändern.
In diesem Artikel erfahren Sie, wie Sie Root-Squash-Einstellungen für NFS-Azure-Dateifreigaben konfigurieren und ändern.
Anwendungsbereich
| Verwaltungsmodell | Abrechnungsmodell | Medienebene | Redundanz | KMU | NFS |
|---|---|---|---|---|---|
| Microsoft.FileShares | Bereitgestellt v2 | SSD (Premium) | Lokal (LRS) |
|
|
| Microsoft.FileShares | Bereitgestellt v2 | SSD (Premium) | Zone (ZRS) |
|
|
| Microsoft.Storage | Bereitgestellt v2 | HDD (Standard) | Lokal (LRS) |
|
|
| Microsoft.Storage | Bereitgestellt v2 | HDD (Standard) | Zone (ZRS) |
|
|
| Microsoft.Storage | Bereitgestellt v2 | HDD (Standard) | Geo (GRS) |
|
|
| Microsoft.Storage | Bereitgestellt v2 | HDD (Standard) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Bereitgestellt v1 | SSD (Premium) | Lokal (LRS) |
|
|
| Microsoft.Storage | Bereitgestellt v1 | SSD (Premium) | Zone (ZRS) |
|
|
| Microsoft.Storage | Nutzungsbasierte Bezahlung | HDD (Standard) | Lokal (LRS) |
|
|
| Microsoft.Storage | Nutzungsbasierte Bezahlung | HDD (Standard) | Zone (ZRS) |
|
|
| Microsoft.Storage | Nutzungsbasierte Bezahlung | HDD (Standard) | Geo (GRS) |
|
|
| Microsoft.Storage | Nutzungsbasierte Bezahlung | HDD (Standard) | GeoZone (GZRS) |
|
|
Zusammenarbeit von Root-Squash und Azure Files
Root-Squash ordnet die Benutzer-ID (User ID, UID) und die Gruppen-ID (GID) des Root-Benutzers einer UID und GID zu, die zum anonymen Benutzer auf dem Server gehören. Root-Benutzer, die auf das Dateisystem zugreifen, werden automatisch in den anonymen, weniger privilegierten Benutzer bzw. in die anonyme Gruppe mit eingeschränkten Berechtigungen konvertiert.
Root-Squash ist zwar das Standardverhalten in NFS, es ist aber nicht die Standardoption beim Erstellen einer NFS-Azure-Dateifreigabe. Root-Squash muss explizit für die Dateifreigabe aktiviert werden. Dieser Schritt kann beim Erstellen einer NFS-Azure-Dateifreigabe oder auch später durchgeführt werden.
Root-Squash-Einstellungen
Es stehen drei Root-Squash-Einstellungen zur Auswahl:
- Kein Root-Squash: Deaktiviert das Root-Squashing. Diese Option ist hauptsächlich für datenträgerlose Clients oder Workloads nützlich, wie in der Workloaddokumentation angegeben. Dies ist die Standardeinstellung beim Erstellen einer neuen NFS-Azure-Dateifreigabe.
- All-Squash: Ordnet alle UIDs und GIDs dem anonymen Benutzer zu. Nützlich für Freigaben, die schreibgeschützten Zugriff von allen Clients erfordern.
- Root-Squash: Ordnet Anforderungen von der UID/GID 0 (Root) der anonymen UID/GID zu. Gilt nicht für andere UIDs oder GIDs, die ebenso heikel sein können (z. B. Benutzercontainer oder Gruppenmitarbeiter).
Die folgende Tabelle enthält das UID-Verhalten des Servers, wenn bestimmte Root-Squash-Optionen konfiguriert sind:
| Auswahl | Client-UID | Server-UID |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Konfigurieren von Root Squash auf einer vorhandenen NFS-Dateifreigabe (Microsoft.Storage)
Für klassische Azure-Dateifreigaben, die den Microsoft.Storage-Ressourcenanbieter verwenden, können Sie Root-Squash-Einstellungen über das Azure-Portal, Azure PowerShell oder die Azure CLI konfigurieren.
Melden Sie sich beim Azure-Portal an, und navigieren Sie zum FileStorage-Speicherkonto mit der NFS-Azure-Dateifreigabe.
Wählen Sie im Dienstmenüunter Datenspeicher die Option Dateifreigaben aus.
Wählen Sie die Dateifreigabe aus, für die Sie die Root-Squash-Einstellungen ändern möchten.
Wählen Sie im Dienstmenü die Option Eigenschaften aus. Legen Sie dann die Einstellung Root-Squash wie gewünscht fest.
Wählen Sie Speichern aus, um den Root-Squash-Wert zu aktualisieren.
Konfigurieren von Root-Squash auf einer vorhandenen NFS-Dateifreigabe (Microsoft.FileShares)
Für Azure-Dateifreigaben, die den Microsoft.FileShares-Ressourcenanbieter (Vorschau) verwenden, können Sie im Azure-Portal die Root-Squash-Einstellungen konfigurieren.
Melden Sie sich beim Azure-Portal an, und navigieren Sie zur Dateifreigabe.
Wählen Sie im Dienstmenü unter Einstellungen die Option Konfiguration aus.
Legen Sie die Einstellung Root-Squash wie gewünscht fest.
Wählen Sie Speichern aus, um den Root-Squash-Wert zu aktualisieren.