Configurar o squash raiz para o Arquivos do Azure

As permissões para compartilhamentos de arquivos NFS são impostas pelo sistema operacional cliente em vez do serviço do Arquivos do Azure. O squash raiz é um recurso de segurança administrativa no NFS que impede o acesso não autorizado de computadores cliente ao nível raiz do servidor NFS. Essa funcionalidade é uma parte importante da proteção dos dados do usuário e das configurações do sistema contra manipulação por clientes não confiáveis ou comprometidos.

Os administradores devem habilitar o squash raiz em ambientes em que vários usuários ou sistemas acessam o compartilhamento NFS, especialmente em cenários em que os computadores cliente não são totalmente confiáveis. Ao converter usuários raiz em usuários anônimos, o squash raiz garante que, mesmo que um computador cliente esteja comprometido, o invasor não poderá explorar privilégios raiz para acessar ou modificar arquivos críticos no servidor NFS.

Neste artigo, você saberá como definir e alterar as configurações de squash raiz para compartilhamentos de arquivos NFS do Azure.

Aplica-se a

Modelo de gestão	Modelo de cobrança	Camada de mídia	Redundância	PME	NFS (Nota Fiscal de Serviços)
Microsoft.Storage	Provisionado v2	HDD (padrão)	Local (LRS)
Microsoft.Storage	Provisionado v2	HDD (padrão)	Zona (ZRS)
Microsoft.Storage	Provisionado v2	HDD (padrão)	Localização geográfica (GRS)
Microsoft.Storage	Provisionado v2	HDD (padrão)	GeoZone (GZRS)
Microsoft.Storage	Provisionado v1	SSD (de alta qualidade)	Local (LRS)
Microsoft.Storage	Provisionado v1	SSD (de alta qualidade)	Zona (ZRS)
Microsoft.Storage	Pago conforme o uso	HDD (padrão)	Local (LRS)
Microsoft.Storage	Pago conforme o uso	HDD (padrão)	Zona (ZRS)
Microsoft.Storage	Pago conforme o uso	HDD (padrão)	Localização geográfica (GRS)
Microsoft.Storage	Pago conforme o uso	HDD (padrão)	GeoZone (GZRS)

Como o squash raiz funciona no Arquivos do Azure

O squash raiz funciona mapeando novamente a ID do usuário (UID) e a ID do grupo (GID) do usuário raiz para uma UID e GID do usuário anônimo no servidor. Os usuários raiz que acessam o sistema de arquivos são convertidos automaticamente ao usuário/grupo anônimo e menos privilegiado com permissões limitadas.

Embora o squash raiz seja o comportamento padrão no NFS, esta não é a opção padrão ao criar um compartilhamento de arquivos NFS do Azure. Você deve habilitar o squash raiz no compartilhamento de arquivos de maneira explícita. Você pode fazer isso ao criar um compartilhamento de arquivos NFS do Azure ou mais tarde.

Configurações de squash raiz

Você pode escolher entre três configurações de squash raiz:

• Sem squash raiz: desative o squash raiz. Essa opção é útil principalmente para clientes ou cargas de trabalho sem disco, conforme especificado na documentação da carga de trabalho. Essa é a configuração padrão ao criar um novo compartilhamento de arquivos NFS do Azure.
• Todos squash: mapear todos os IUDs e GIDs para o usuário anônimo. Útil para compartilhamentos que exigem acesso somente leitura de todos os clientes.
• Squash raiz: mapear solicitações de UID/GID 0 (raiz) para a UID/GID anônima. Isso não se aplica a outras UIDs ou GIDs que também são confidenciais, como o compartimento de usuário ou a equipe de grupo.

A tabela a seguir realça o comportamento da UID observado no servidor quando opções de squash raiz específicas são configuradas.

Opção	UID de cliente	UID de servidor
root_squash	0	65534
root_squash	1000	1000
no_root_squash	0	0
no_root_squash	1000	1000
all_squash	0	65534
all_squash	1000	65534

Configurar o squash raiz em um compartilhamento de arquivo NFS existente

Você pode definir as configurações de squash raiz por meio do portal do Azure, do Azure PowerShell ou da CLI do Azure.

Portal

1. Entre no portal do Azure e navegue até a conta de armazenamento FileStorage em que está o compartilhamento de arquivos NFS do Azure.

2. No menu de serviço, em Armazenamento de dados, selecione Compartilhamentos de arquivos.

3. Selecione o compartilhamento de arquivos do qual você deseja modificar a configuração de squash raiz.

4. No menu de serviço, selecione Propriedades. Em seguida, alterne a configuração de Squash raiz conforme desejado.

   

5. Selecione Salvar para atualizar o valor de squash raiz.

PowerShell do Azure

1. Entre no Azure e selecione sua assinatura.

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId "<your-subscription-id>"
   

2. Para habilitar o squash raiz no compartilhamento de arquivos, execute o comando a seguir. Substitua <resource-group-name>, <storage-account-name> e <file-share-name> por valores próprios.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash RootSquash
   

3. Para desabilitar o squash raiz no compartilhamento de arquivos, execute o comando a seguir. Substitua <resource-group-name>, <storage-account-name> e <file-share-name> por valores próprios.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash NoRootSquash
   

4. Para forçar o squash para todos os usuários, execute o comando a seguir a fim de mapear todas as IDs de usuário para anônimos. Substitua <resource-group-name>, <storage-account-name> e <file-share-name> por valores próprios.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash AllSquash
   

5. Para exibir a propriedade de squash raiz de um compartilhamento de arquivos, execute o comando a seguir. Substitua <resource-group-name>, <storage-account-name> e <file-share-name> por valores próprios.

   Get-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash
   

CLI do Azure

1. Entre no Azure e defina sua assinatura.

   az login
   az account set --subscription "<your-subscription-id>"  
   

2. Para habilitar o squash raiz no compartilhamento de arquivos, execute o comando a seguir. Substitua <resource-group-name>, <storage-account-name> e <file-share-name> por valores próprios.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash RootSquash 
   

3. Para desabilitar o squash raiz no compartilhamento de arquivos, execute o comando a seguir. Substitua <resource-group-name>, <storage-account-name> e <file-share-name> por valores próprios.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash NoRootSquash 
   

4. Para forçar o squash para todos os usuários, execute o comando a seguir a fim de mapear todas as IDs de usuário para anônimos. Substitua <resource-group-name>, <storage-account-name> e <file-share-name> por valores próprios.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash AllSquash 
   

5. Para exibir a propriedade de squash raiz de um compartilhamento de arquivos, execute o comando a seguir. Substitua <resource-group-name>, <storage-account-name> e <file-share-name> por valores próprios.

   az storage share-rm show \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name>
   

Confira também

• Compartilhamentos de arquivos NFS do Azure