Konfigurieren von Root-Squash für Azure Files

Berechtigungen für NFS-Dateifreigaben werden nicht vom Azure Files-Dienst, sondern vom Clientbetriebssystem erzwungen. Root-Squash ist ein administratives Sicherheitsfeature in NFS, das nicht autorisierte NFS-Serverzugriffe durch Clientcomputer auf der Stammebene verhindert. Diese Funktion trägt entscheidend dazu bei, Benutzerdaten und Systemeinstellungen vor Manipulation durch kompromittierte oder nicht vertrauenswürdige Clients zu schützen.

Administratoren sollten Root-Squash in Umgebungen aktivieren, in denen mehrere Benutzer oder Systeme auf die NFS-Freigabe zugreifen. Das gilt insbesondere in Szenarien, in denen Clientcomputer nicht uneingeschränkt vertrauenswürdig sind. Durch das Konvertieren von Root-Benutzern in anonyme Benutzer stellt Root-Squash sicher, dass ein Angreifer selbst dann, wenn ein Clientcomputer kompromittiert ist, keine Root-Berechtigungen ausnutzen kann, um auf kritische Dateien auf dem NFS-Server zuzugreifen oder diese zu ändern.

In diesem Artikel erfahren Sie, wie Sie Root-Squash-Einstellungen für NFS-Azure-Dateifreigaben konfigurieren und ändern.

Gilt für:

Verwaltungsmodell	Abrechnungsmodell	Medienebene	Redundanz	KMU	NFS (falls abgekürzt von Network File System gemeint)
Microsoft.Storage	Bereitgestellt v2	HDD (Standard)	Lokal (LRS)
Microsoft.Storage	Bereitgestellt v2	HDD (Standard)	Zone (ZRS)
Microsoft.Storage	Bereitgestellt v2	HDD (Standard)	Geo (GRS)
Microsoft.Storage	Bereitgestellt v2	HDD (Standard)	GeoZone (GZRS)
Microsoft.Storage	Bereitgestellt v1	SSD (Premium)	Lokal (LRS)
Microsoft.Storage	Bereitgestellt v1	SSD (Premium)	Zone (ZRS)
Microsoft.Storage	Nutzungsbasierte Bezahlung	HDD (Standard)	Lokal (LRS)
Microsoft.Storage	Nutzungsbasierte Bezahlung	HDD (Standard)	Zone (ZRS)
Microsoft.Storage	Nutzungsbasierte Bezahlung	HDD (Standard)	Geo (GRS)
Microsoft.Storage	Nutzungsbasierte Bezahlung	HDD (Standard)	GeoZone (GZRS)

Zusammenarbeit von Root-Squash und Azure Files

Root-Squash ordnet die Benutzer-ID (User ID, UID) und die Gruppen-ID (GID) des Root-Benutzers einer UID und GID zu, die zum anonymen Benutzer auf dem Server gehören. Root-Benutzer, die auf das Dateisystem zugreifen, werden automatisch in den anonymen, weniger privilegierten Benutzer bzw. in die anonyme Gruppe mit eingeschränkten Berechtigungen konvertiert.

Root-Squash ist zwar das Standardverhalten in NFS, es ist aber nicht die Standardoption beim Erstellen einer NFS-Azure-Dateifreigabe. Root-Squash muss explizit für die Dateifreigabe aktiviert werden. Dieser Schritt kann beim Erstellen einer NFS-Azure-Dateifreigabe oder auch später durchgeführt werden.

Root-Squash-Einstellungen

Es stehen drei Root-Squash-Einstellungen zur Auswahl:

• Kein Root-Squash: Deaktiviert das Root-Squashing. Diese Option ist hauptsächlich für datenträgerlose Clients oder Workloads nützlich, wie in der Workloaddokumentation angegeben. Dies ist die Standardeinstellung beim Erstellen einer neuen NFS-Azure-Dateifreigabe.
• All-Squash: Ordnet alle UIDs und GIDs dem anonymen Benutzer zu. Nützlich für Freigaben, die schreibgeschützten Zugriff von allen Clients erfordern.
• Root-Squash: Ordnet Anforderungen von der UID/GID 0 (Root) der anonymen UID/GID zu. Gilt nicht für andere UIDs oder GIDs, die ebenso heikel sein können (z. B. Benutzercontainer oder Gruppenmitarbeiter).

Die folgende Tabelle enthält das UID-Verhalten des Servers, wenn bestimmte Root-Squash-Optionen konfiguriert sind:

Auswahl	Client-UID	Server-UID
root_squash	0	65534
root_squash	1000	1000
no_root_squash	0	0
no_root_squash	1000	1000
all_squash	0	65534
all_squash	1000	65534

Konfigurieren von Root-Squash für eine bereits vorhandene NFS-Dateifreigabe

Root-Squash-Einstellungen können über das Azure-Portal, über die Azure CLI oder per Azure PowerShell konfiguriert werden.

Portal

1. Melden Sie sich beim Azure-Portal an, und navigieren Sie zum FileStorage-Speicherkonto mit der NFS-Azure-Dateifreigabe.

2. Wählen Sie im Dienstmenüunter Datenspeicher die Option Dateifreigaben aus.

3. Wählen Sie die Dateifreigabe aus, für die Sie die Root-Squash-Einstellungen ändern möchten.

4. Wählen Sie im Dienstmenü die Option Eigenschaften aus. Legen Sie dann die Einstellung Root-Squash wie gewünscht fest.

   

5. Wählen Sie Speichern aus, um den Root-Squash-Wert zu aktualisieren.

Azure PowerShell

1. Melden Sie sich bei Azure an, und wählen Sie Ihr Abonnement aus.

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId "<your-subscription-id>"
   

2. Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu aktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash RootSquash
   

3. Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu deaktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash NoRootSquash
   

4. Wenn Root-Squash für alle Benutzer erzwungen werden soll, führen Sie den folgenden Befehl aus, um alle Benutzer-IDs dem anonymen Benutzer zuzuordnen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash AllSquash
   

5. Mit dem folgenden Befehl können Sie die Root-Squash-Eigenschaft für eine Dateifreigabe anzeigen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

   Get-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash
   

Azure-Befehlszeilenschnittstelle

1. Melden Sie sich in Azure an, und legen Sie Ihr Abonnement fest.

   az login
   az account set --subscription "<your-subscription-id>"  
   

2. Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu aktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash RootSquash 
   

3. Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu deaktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash NoRootSquash 
   

4. Wenn Root-Squash für alle Benutzer erzwungen werden soll, führen Sie den folgenden Befehl aus, um alle Benutzer-IDs dem anonymen Benutzer zuzuordnen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash AllSquash 
   

5. Mit dem folgenden Befehl können Sie die Root-Squash-Eigenschaft für eine Dateifreigabe anzeigen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

   az storage share-rm show \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name>
   

Siehe auch

• NFS-Azure-Dateifreigaben