Konfigurowanie głównego squasha dla usługi Azure Files

Uprawnienia do udziałów plików NFS są wymuszane przez system operacyjny klienta, a nie usługę Azure Files. Root squash to funkcja zabezpieczeń administracyjnych w systemie plików NFS, która uniemożliwia nieautoryzowany dostęp na poziomie głównym do serwera NFS przez maszyny klienckie. Ta funkcja jest ważną częścią ochrony danych użytkownika i ustawień systemu przed manipulowaniem przez niezaufanych lub naruszonych klientów.

Administratorzy powinni włączyć root squash w środowiskach, w których wielu użytkowników lub systemów uzyskuje dostęp do udziału NFS, szczególnie w scenariuszach, w których maszyny klienckie nie są w pełni zaufane. Konwertując użytkowników głównych na użytkowników anonimowych, root squash gwarantuje, że nawet w przypadku naruszenia zabezpieczeń maszyny klienckiej osoba atakująca nie może wykorzystać uprawnień administratora w celu uzyskania dostępu do lub zmodyfikowania plików krytycznych na serwerze NFS.

Z tego artykułu dowiesz się, jak skonfigurować i zmienić ustawienia root squash dla udziałów plików platformy Azure NFS.

Odnosi się do

Model zarządzania	Model rozliczania	Poziom mediów	Redundancja	Małe i Średnie Przedsiębiorstwa (SMB)	System plików sieciowych (NFS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Lokalna sieć (LRS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Strefa (ZRS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Geo (GRS)
Microsoft.Storage	Wersja 2 została przygotowana	HDD (standardowa)	Strefa geograficzna (GZRS)
Microsoft.Storage	Zaprovisionowana wersja 1	SSD klasy premium	Lokalna sieć (LRS)
Microsoft.Storage	Zaprovisionowana wersja 1	SSD klasy premium	Strefa (ZRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Lokalna sieć (LRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Strefa (ZRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Geo (GRS)
Microsoft.Storage	Płać według zużycia	HDD (standardowa)	Strefa geograficzna (GZRS)

Jak działa root squash z usługą Azure Files

Root squash działa przez ponowne mapowanie identyfikatora użytkownika (UID) i identyfikator grupy (GID) użytkownika głównego na identyfikator UID i GID należący do anonimowego użytkownika na serwerze. Użytkownicy root, którzy uzyskują dostęp do systemu plików, są automatycznie konwertowani na anonimowego, mniej uprzywilejowanego użytkownika/grupy z ograniczonymi uprawnieniami.

Mimo że root squash jest zachowaniem domyślnym w systemie plików NFS, nie jest to opcja domyślna podczas tworzenia udziału plików platformy Azure NFS. Należy jawnie włączyć root squash w udziale plików. Można to zrobić podczas tworzenia udziału plików platformy Azure NFS lub nowszego.

Ustawienia głównego squasha

Możesz wybrać spośród trzech ustawień głównego squasha:

• Brak squasha głównego: Wyłącz root squashing. Ta opcja jest przydatna głównie w przypadku klientów bez dysków lub obciążeń określonych w dokumentacji obciążenia. Jest to ustawienie domyślne podczas tworzenia nowego udziału plików platformy Azure NFS.
• Wszystkie squasha: Mapuj wszystkie identyfikatory UID i identyfikatory GID na użytkownika anonimowego. Przydatne w przypadku udziałów, które wymagają dostępu tylko do odczytu przez wszystkich klientów.
• Squash główny: Mapuj żądania z UID/GID 0 (root) na anonimowy identyfikator UID/GID. Nie dotyczy to żadnych innych identyfikatorów UID ani GID, które mogą być równie wrażliwe, takie jak pojemnik użytkownika lub personel grupy.

W poniższej tabeli przedstawiono zachowanie UID obserwowane na serwerze, gdy są skonfigurowane określone opcje squasha głównego.

Opcja	Identyfikator UID klienta	Identyfikator UID serwera
root_squash	0	65534
root_squash	1000	1000
no_root_squash	0	0
no_root_squash	1000	1000
all_squash	0	65534
all_squash	1000	65534

Konfigurowanie głównego squasha w istniejącym udziale plików NFS

Ustawienia głównego squasha można skonfigurować za pośrednictwem witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Portal

1. Zaloguj się do witryny Azure Portal i przejdź do konta magazynu FileStorage zawierającego udział plików platformy Azure NFS.

2. W menu usługi, w sekcji Przechowywanie danych, wybierz Udostępnianie plików.

3. Wybierz udział plików, dla którego chcesz zmodyfikować ustawienie głównego squasha.

4. W menu usługi wybierz pozycję Właściwości. Następnie przełącz ustawienie Root squash zgodnie z potrzebami.

   

5. Wybierz pozycję Zapisz , aby zaktualizować wartość głównego squasha.

Azure PowerShell

1. Zaloguj się do platformy Azure i wybierz swoją subskrypcję.

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId "<your-subscription-id>"
   

2. Aby włączyć root squash w udziale plików, uruchom następujące polecenie. Zastąp wartości <resource-group-name>, <storage-account-name> i <file-share-name> własnymi.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash RootSquash
   

3. Aby wyłączyć root squash w udziale plików, uruchom następujące polecenie. Zastąp wartości <resource-group-name>, <storage-account-name> i <file-share-name> własnymi.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash NoRootSquash
   

4. Aby wymusić squash dla wszystkich użytkowników, uruchom następujące polecenie, aby zamapować wszystkie identyfikatory użytkowników na anonimowe. Zastąp wartości <resource-group-name>, <storage-account-name> i <file-share-name> własnymi.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash AllSquash
   

5. Aby wyświetlić właściwość głównego squasha dla udziału plików, uruchom następujące polecenie. Zastąp wartości <resource-group-name>, <storage-account-name> i <file-share-name> własnymi.

   Get-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash
   

Interfejs wiersza polecenia platformy Azure

1. Zaloguj się do Azure i ustaw swoją subskrypcję.

   az login
   az account set --subscription "<your-subscription-id>"  
   

2. Aby włączyć root squash w udziale plików, uruchom następujące polecenie. Zastąp wartości <resource-group-name>, <storage-account-name> i <file-share-name> własnymi.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash RootSquash 
   

3. Aby wyłączyć root squash w udziale plików, uruchom następujące polecenie. Zastąp wartości <resource-group-name>, <storage-account-name> i <file-share-name> własnymi.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash NoRootSquash 
   

4. Aby wymusić squash dla wszystkich użytkowników, uruchom następujące polecenie, aby zamapować wszystkie identyfikatory użytkowników na anonimowe. Zastąp wartości <resource-group-name>, <storage-account-name> i <file-share-name> własnymi.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash AllSquash 
   

5. Aby wyświetlić właściwość głównego squasha dla udziału plików, uruchom następujące polecenie. Zastąp wartości <resource-group-name>, <storage-account-name> i <file-share-name> własnymi.

   az storage share-rm show \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name>
   

Zobacz także

• Udziały plików platformy Azure NFS