Dela via

Konfigurera rot squash för Azure Files

  • Artikel

Behörigheter för NFS-filresurser framtvingas av klientoperativsystemet i stället för Azure Files-tjänsten. Root squash är en administrativ säkerhetsfunktion i NFS som förhindrar obehörig åtkomst på rotnivå till NFS-servern av klientdatorer. Den här funktionen är en viktig del av att skydda användardata och systeminställningar från manipulering av ej betrodda eller komprometterade klienter.

Administratörer bör aktivera rot squash i miljöer där flera användare eller system har åtkomst till NFS-resursen, särskilt i scenarier där klientdatorer inte är helt betrodda. Genom att konvertera rotanvändare till anonyma användare säkerställer root squash att även om en klientdator komprometteras kan angriparen inte utnyttja rotbehörigheter för att komma åt eller ändra kritiska filer på NFS-servern.

I den här artikeln får du lära dig hur du konfigurerar och ändrar root squash-inställningar för NFS Azure-filresurser.

Gäller för

Typ av filresurs SMB NFS
Standardfilresurser (GPv2), LRS/ZRS Nej, den här artikeln gäller inte för standard-SMB Azure-filresurserna LRS/ZRS. NFS-resurser är endast tillgängliga i Premium Azure-filresurser.
Standardfilresurser (GPv2), GRS/GZRS Nej, den här artikeln gäller inte för standard-SMB Azure-filresurser GRS/GZRS. NFS är endast tillgängligt i Premium Azure-filresurser.
Premiumfilresurser (FileStorage), LRS/ZRS Nej, den här artikeln gäller inte för Premium SMB Azure-filresurser. Ja, den här artikeln gäller premium-NFS Azure-filresurser.

Så här fungerar rot squash med Azure Files

Rot squash fungerar genom att mappa om användar-ID (UID) och grupp-ID (GID) för rotanvändaren till ett UID och GID som tillhör den anonyma användaren på servern. Rotanvändare som kommer åt filsystemet konverteras automatiskt till den anonyma, mindre privilegierade användaren/gruppen med begränsad behörighet.

Även om rot squash är standardbeteendet i NFS är det inte standardalternativet när du skapar en NFS Azure-filresurs. Du måste uttryckligen aktivera rot squash på filresursen. Du kan göra detta när du skapar en NFS Azure-filresurs eller senare.

Inställningar för rot squash

Du kan välja mellan tre root squash-inställningar:

  • Ingen rot squash: Stäng av rot squash. Det här alternativet är främst användbart för disklösa klienter eller arbetsbelastningar enligt arbetsbelastningsdokumentationen. Det här är standardinställningen när du skapar en ny NFS Azure-filresurs.
  • All squash: Mappa alla användargränssnitt och GID:er till den anonyma användaren. Användbart för resurser som kräver skrivskyddad åtkomst av alla klienter.
  • Rot squash: Mappa begäranden från UID/GID 0 (rot) till det anonyma UID/GID. Detta gäller inte för andra användargränssnitt eller GID:er som kan vara lika känsliga, till exempel användarlager eller grupppersonal.

I följande tabell visas det UID-beteende som observerats från servern när specifika root squash-alternativ har konfigurerats.

Alternativ Klientens UID Serverns UID
root_squash 0 65534
root_squash 1 000 1 000
no_root_squash 0 0
no_root_squash 1 000 1 000
all_squash 0 65534
all_squash 1000 65534

Konfigurera rot squash på en befintlig NFS-filresurs

Du kan konfigurera root squash-inställningar via Azure Portal, Azure PowerShell eller Azure CLI.

  1. Logga in på Azure Portal och gå till lagringskontot FileStorage som innehåller NFS Azure-filresursen.

  2. På tjänstmenyn går du till Datalagring och väljer Filresurser.

  3. Välj den filresurs som du vill ändra rot squash-inställningen för.

  4. I tjänstmenyn väljer du Egenskaper. Växla sedan root squash-inställningen efter behov.

    Skärmbild som visar hur du konfigurerar root squash-inställningar för en NFS-filresurs i Azure Portal.

  5. Välj Spara för att uppdatera rot squash-värdet.

Se även