Konfigurera rot squash för Azure Files

Behörigheter för NFS-filresurser framtvingas av klientoperativsystemet i stället för Azure Files-tjänsten. Root squash är en administrativ säkerhetsfunktion i NFS som förhindrar obehörig åtkomst på rotnivå till NFS-servern av klientdatorer. Den här funktionen är en viktig del av att skydda användardata och systeminställningar från manipulering av ej betrodda eller komprometterade klienter.

Administratörer bör aktivera rot squash i miljöer där flera användare eller system har åtkomst till NFS-resursen, särskilt i scenarier där klientdatorer inte är helt betrodda. Genom att konvertera rotanvändare till anonyma användare säkerställer root squash att även om en klientdator komprometteras kan angriparen inte utnyttja rotbehörigheter för att komma åt eller ändra kritiska filer på NFS-servern.

I den här artikeln får du lära dig hur du konfigurerar och ändrar root squash-inställningar för NFS Azure-filresurser.

Gäller för

Hanteringsmodell	Faktureringsmodell	Medieklass	Redundans	Små och medelstora företag (SMB)	NFS (Network File System)
Microsoft.Storage, lagringstjänster	Provisionerad v2	HDD (standard)	Lokalt (LRS)
Microsoft.Storage, lagringstjänster	Provisionerad v2	HDD (standard)	Zon (ZRS)
Microsoft.Storage, lagringstjänster	Provisionerad v2	HDD (standard)	Geo (GRS)
Microsoft.Storage, lagringstjänster	Provisionerad v2	HDD (standard)	GeoZone (GZRS)
Microsoft.Storage, lagringstjänster	Tillhandahållen v1	SSD (hög kvalitet)	Lokalt (LRS)
Microsoft.Storage, lagringstjänster	Tillhandahållen v1	SSD (hög kvalitet)	Zon (ZRS)
Microsoft.Storage, lagringstjänster	Betala efter hand	HDD (standard)	Lokalt (LRS)
Microsoft.Storage, lagringstjänster	Betala efter hand	HDD (standard)	Zon (ZRS)
Microsoft.Storage, lagringstjänster	Betala efter hand	HDD (standard)	Geo (GRS)
Microsoft.Storage, lagringstjänster	Betala efter hand	HDD (standard)	GeoZone (GZRS)

Så här fungerar rot squash med Azure Files

Rot squash fungerar genom att mappa om användar-ID (UID) och grupp-ID (GID) för rotanvändaren till ett UID och GID som tillhör den anonyma användaren på servern. Rotanvändare som kommer åt filsystemet konverteras automatiskt till den anonyma, mindre privilegierade användaren/gruppen med begränsad behörighet.

Även om rot squash är standardbeteendet i NFS är det inte standardalternativet när du skapar en NFS Azure-filresurs. Du måste uttryckligen aktivera rot squash på filresursen. Du kan göra detta när du skapar en NFS Azure-filresurs eller senare.

Inställningar för rot squash

Du kan välja mellan tre root squash-inställningar:

• Ingen rot squash: Stäng av rot squash. Det här alternativet är främst användbart för disklösa klienter eller arbetsbelastningar enligt arbetsbelastningsdokumentationen. Det här är standardinställningen när du skapar en ny NFS Azure-filresurs.
• All squash: Mappa alla användargränssnitt och GID:er till den anonyma användaren. Användbart för resurser som kräver skrivskyddad åtkomst av alla klienter.
• Rot squash: Mappa begäranden från UID/GID 0 (rot) till det anonyma UID/GID. Detta gäller inte för andra användargränssnitt eller GID:er som kan vara lika känsliga, till exempel användarlager eller grupppersonal.

I följande tabell visas det UID-beteende som observerats från servern när specifika root squash-alternativ har konfigurerats.

Alternativ	Klientens UID	Serverns UID
root_squash	0	65534
root_squash	1 000	1 000
no_root_squash	0	0
no_root_squash	1 000	1 000
all_squash	0	65534
all_squash	1 000	65534

Konfigurera rot squash på en befintlig NFS-filresurs

Du kan konfigurera root squash-inställningar via Azure Portal, Azure PowerShell eller Azure CLI.

Portal

1. Logga in på Azure Portal och gå till lagringskontot FileStorage som innehåller NFS Azure-filresursen.

2. På tjänstmenyn går du till Datalagring och väljer Filresurser.

3. Välj den filresurs som du vill ändra rot squash-inställningen för.

4. I tjänstmenyn väljer du Egenskaper. Växla sedan root squash-inställningen efter behov.

   

5. Välj Spara för att uppdatera rot squash-värdet.

Azure PowerShell

1. Logga in på Azure och välj din prenumeration.

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId "<your-subscription-id>"
   

2. Om du vill aktivera rot squash på filresursen kör du följande kommando. Ersätt <resource-group-name>, <storage-account-name> och <file-share-name> med dina egna värden.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash RootSquash
   

3. Om du vill inaktivera rot squash på filresursen kör du följande kommando. Ersätt <resource-group-name>, <storage-account-name> och <file-share-name> med dina egna värden.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash NoRootSquash
   

4. Om du vill tvinga squash för alla användare kör du följande kommando för att mappa alla användar-ID:t till anonyma. Ersätt <resource-group-name>, <storage-account-name> och <file-share-name> med dina egna värden.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash AllSquash
   

5. Om du vill visa egenskapen root squash för en filresurs kör du följande kommando. Ersätt <resource-group-name>, <storage-account-name> och <file-share-name> med dina egna värden.

   Get-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash
   

Azure CLI

1. Logga in på Azure och konfigurera din prenumeration.

   az login
   az account set --subscription "<your-subscription-id>"  
   

2. Om du vill aktivera rot squash på filresursen kör du följande kommando. Ersätt <resource-group-name>, <storage-account-name> och <file-share-name> med dina egna värden.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash RootSquash 
   

3. Om du vill inaktivera rot squash på filresursen kör du följande kommando. Ersätt <resource-group-name>, <storage-account-name> och <file-share-name> med dina egna värden.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash NoRootSquash 
   

4. Om du vill tvinga squash för alla användare kör du följande kommando för att mappa alla användar-ID:t till anonyma. Ersätt <resource-group-name>, <storage-account-name> och <file-share-name> med dina egna värden.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash AllSquash 
   

5. Om du vill visa egenskapen root squash för en filresurs kör du följande kommando. Ersätt <resource-group-name>, <storage-account-name> och <file-share-name> med dina egna värden.

   az storage share-rm show \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name>
   

Se även

• NFS Azure-filresurser