Root squash configureren voor Azure Files

Machtigingen voor NFS-bestandsshares worden afgedwongen door het client-besturingssysteem in plaats van de Azure Files-service. Root squash is een beheerbeveiligingsfunctie in NFS die onbevoegde toegang op hoofdniveau tot de NFS-server door clientcomputers voorkomt. Deze functionaliteit is een belangrijk onderdeel van het beveiligen van gebruikersgegevens en systeeminstellingen tegen manipulatie door niet-vertrouwde of gecompromitteerde clients.

Beheerders moeten root squash inschakelen in omgevingen waar meerdere gebruikers of systemen toegang hebben tot de NFS share, vooral in scenario's waarin client-machines niet volledig worden vertrouwd. Door hoofdgebruikers te converteren naar anonieme gebruikers, zorgt root squash ervoor dat zelfs als een clientcomputer is aangetast, de aanvaller geen gebruik kan maken van hoofdbevoegdheden voor toegang tot of wijzigen van kritieke bestanden op de NFS-server.

In dit artikel leert u hoe u root-squashinstellingen voor NFS Azure-bestandsshares configureert en wijzigt.

Van toepassing op:

Beheermodel	Betaalmodel	Medianiveau	Redundantie	Kleine en Middelgrote Ondernemingen (SMB)	Network File System (NFS)
Microsoft.Opslag	Geconfigureerd v2	HDD (standaard)	Lokaal (LRS)
Microsoft.Opslag	Geconfigureerd v2	HDD (standaard)	Zone (ZRS)
Microsoft.Opslag	Geconfigureerd v2	HDD (standaard)	Aardrijkskunde (GRS)
Microsoft.Opslag	Geconfigureerd v2	HDD (standaard)	GeoZone (GZRS)
Microsoft.Opslag	Geconfigureerd v1	SSD (van hoge kwaliteit)	Lokaal (LRS)
Microsoft.Opslag	Geconfigureerd v1	SSD (van hoge kwaliteit)	Zone (ZRS)
Microsoft.Opslag	Betaal naar verbruik	HDD (standaard)	Lokaal (LRS)
Microsoft.Opslag	Betaal naar verbruik	HDD (standaard)	Zone (ZRS)
Microsoft.Opslag	Betaal naar verbruik	HDD (standaard)	Aardrijkskunde (GRS)
Microsoft.Opslag	Betaal naar verbruik	HDD (standaard)	GeoZone (GZRS)

Hoe root squash werkt met Azure Files

Root squash werkt door de gebruikers-id (UID) en de groeps-id (GID) van de hoofdgebruiker opnieuw toe te kennen aan een UID en GID die behoren tot de anonieme gebruiker op de server. Hoofdgebruikers die toegang hebben tot het bestandssysteem, worden automatisch geconverteerd naar de anonieme, minder bevoegde gebruiker/groep met beperkte machtigingen.

Hoewel root squash het standaardgedrag in NFS is, is dit niet de standaardoptie bij het maken van een NFS Azure-bestandsshare. U moet root squash expliciet inschakelen op de bestandsshare. U kunt dit doen wanneer u een NFS Azure-bestandsshare maakt of later.

Root squashinstellingen

U kunt kiezen uit drie root squashinstellingen:

• Geen root squash: Schakel root squashing uit. Deze optie is voornamelijk handig voor schijfloze clients of workloads, zoals is opgegeven in de workloaddocumentatie. Dit is de standaardinstelling bij het maken van een nieuwe NFS Azure-bestandsshare.
• Alle squash: Wijs alle UID's en GID's toe aan de anonieme gebruiker. Handig voor shares waarvoor alleen-lezentoegang door alle clients is vereist.
• Root squash: Wijs aanvragen van UID/GID 0 (root) toe aan de anonieme UID/GID. Dit geldt niet voor andere UID's of GID's die mogelijk even gevoelig zijn, zoals gebruikersbak of groepspersoneel.

In de volgende tabel wordt het waargenomen UID-gedrag van de server uitgelicht zodra specifieke root-squash-opties zijn geconfigureerd.

Optie	Client UID	Server UID
root_squash	0	65534
root_squash	1000	1000
no_root_squash	0	0
no_root_squash	1000	1000
all_squash	0	65534
all_squash	1000	65534

Root squash configureren op een bestaande NFS-bestandsshare

U kunt root squash-instellingen configureren via Azure Portal, Azure PowerShell of Azure CLI.

Portaal

1. Meld u aan bij Azure Portal en navigeer naar het FileStorage-opslagaccount met de NFS Azure-bestandsshare.

2. Selecteer in het servicemenu onder Gegevensopslag de optie Bestandsshares.

3. Selecteer de bestandsshare waarvoor u de root squash-instelling wilt wijzigen.

4. Selecteer Eigenschappen in het servicemenu. Schakel vervolgens de Root squash-instelling zoals gewenst in.

   

5. Selecteer Opslaan om de root squashwaarde bij te werken.

Azure PowerShell

1. Meld u aan bij Azure en selecteer uw abonnement.

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId "<your-subscription-id>"
   

2. Als u root squash wilt inschakelen op de bestandsshare, voert u de volgende opdracht uit. Vervang <resource-group-name>, <storage-account-name> en <file-share-name> door uw eigen waarden.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash RootSquash
   

3. Als u root squash wilt uitschakelen op de bestandsshare, voert u de volgende opdracht uit. Vervang <resource-group-name>, <storage-account-name> en <file-share-name> door uw eigen waarden.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash NoRootSquash
   

4. Om squash af te dwingen voor alle gebruikers, voert u de volgende opdracht uit om alle gebruikers-ID's toe te wijzen aan 'anoniem'. Vervang <resource-group-name>, <storage-account-name> en <file-share-name> door uw eigen waarden.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash AllSquash
   

5. Voer de volgende opdracht uit om de root-squash-eigenschap voor een bestandsdeling weer te geven. Vervang <resource-group-name>, <storage-account-name> en <file-share-name> door uw eigen waarden.

   Get-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash
   

Azure CLI

1. Meld u aan bij Azure en stel uw abonnement in.

   az login
   az account set --subscription "<your-subscription-id>"  
   

2. Als u root squash wilt inschakelen op de bestandsshare, voert u de volgende opdracht uit. Vervang <resource-group-name>, <storage-account-name> en <file-share-name> door uw eigen waarden.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash RootSquash 
   

3. Als u root squash wilt uitschakelen op de bestandsshare, voert u de volgende opdracht uit. Vervang <resource-group-name>, <storage-account-name> en <file-share-name> door uw eigen waarden.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash NoRootSquash 
   

4. Om squash af te dwingen voor alle gebruikers, voert u de volgende opdracht uit om alle gebruikers-ID's toe te wijzen aan 'anoniem'. Vervang <resource-group-name>, <storage-account-name> en <file-share-name> door uw eigen waarden.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash AllSquash 
   

5. Voer de volgende opdracht uit om de root-squash-eigenschap voor een bestandsdeling weer te geven. Vervang <resource-group-name>, <storage-account-name> en <file-share-name> door uw eigen waarden.

   az storage share-rm show \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name>
   

Zie ook

• NFS Azure-bestandsdeling