Azure Dosyalar için "root squash" yapılandırması

✔️ Şunlar için geçerlidir: Microsoft.Storage kaynak sağlayıcısıyla oluşturulan klasik NFS dosya paylaşımları

✔️ Şunlar için geçerlidir: Microsoft.FileShares kaynak sağlayıcısıyla oluşturulan NFS dosya paylaşımları

✖️ Geçerli değildir: SMB dosya paylaşımları

NFS dosya paylaşımları için izinler, Azure Dosyalar hizmeti yerine müşteri işletim sistemi tarafından uygulanır. Kök engelleme, NFS'de istemci makinelerinin NFS sunucusuna yetkisiz kök düzeyinde erişimini engelleyen bir yönetim güvenlik özelliğidir. Bu işlevsellik, kullanıcı verilerini ve sistem ayarlarını güvenilmeyen veya güvenliği aşılmış istemciler tarafından işlemeye karşı korumanın önemli bir parçasıdır.

Yöneticiler, birden çok kullanıcının veya sistemin NFS paylaşımına eriştiği ortamlarda, özellikle istemci bilgisayarlarına tam olarak güvenilmediği senaryolarda kök sıkıştırma özelliğini etkinleştirmelidir. Kök kullanıcıları anonim kullanıcılara dönüştüren kök squash, bir istemci makinesinin güvenliği aşılmış olsa bile, saldırganın NFS sunucusundaki kritik dosyalara erişmek veya bunları değiştirmek için kök ayrıcalıklarından yararlanamadığını güvence altına alır.

Bu makalede, NFS Azure dosya paylaşımları için kök sıkıştırma ayarlarını yapılandırmayı ve değiştirmeyi öğreneceksiniz.

Azure Dosyalar'da root squash nasıl çalışır?

Root squash, kök kullanıcının kullanıcı kimliğini (UID) ve grup kimliğini (GID) sunucudaki anonim kullanıcıya ait bir UID ve GID ile eşleme yaparak çalışır. Dosya sistemine erişen kök kullanıcılar, sınırlı izinlere sahip anonim, daha az ayrıcalıklı kullanıcıya/gruba otomatik olarak dönüştürülür.

NFS'de kök kullanıcı yalıtımı varsayılan davranış olsa da, NFS Azure dosya paylaşımı oluştururken varsayılan seçenek değildir. Dosya paylaşımında root squash'ı özellikle etkinleştirmeniz gerekir. Bir NFS Azure dosya paylaşımı oluşturduğunuzda veya daha sonra bunu yapabilirsiniz.

Root squash ayarları

Üç kök squash ayarı arasından seçim yapabilirsiniz:

• Kök sıkıştırma yok: Kök sıkıştırmayı kapatın. Bu seçenek temel olarak iş yükü belgelerinde belirtildiği gibi disksiz istemciler veya iş yükleri için yararlıdır. Bu, yeni bir NFS Azure dosya paylaşımı oluştururken varsayılan ayardır.
• Tüm squash: Tüm UID'leri ve GID'leri anonim kullanıcıyla eşleyin. Tüm istemciler tarafından salt okunur erişim gerektiren paylaşımlar için kullanışlıdır.
• Root squash: UID/GID 0'dan (kök) gelen istekleri anonim UID/GID ile eşleştirin. Bu, kullanıcı kutusu veya grup personeli gibi eşit derecede hassas olabilecek diğer UID'ler veya GID'ler için geçerli değildir.

Aşağıdaki tabloda, belirli kök sıkıştırma seçenekleri yapılandırıldığında sunucuda gözlemlenen UID davranışı vurgulanmıştır.

Seçenek	İstemci Kimliği	Sunucu UID
root_squash (root erişimini kısıtlama)	0	65534
root_squash (root erişimini kısıtlama)	1000	1000
no_root_squash	0	0
no_root_squash	1000	1000
all_squash	0	65534
all_squash	1000	65534

Mevcut bir NFS dosya paylaşımında kök sıkıştırmayı yapılandırma (Microsoft.Storage)

Microsoft.Storage kaynak sağlayıcısını kullanan klasik Azure dosya paylaşımları için Azure portalı, Azure PowerShell veya Azure CLI aracılığıyla kök sıkıştırma ayarlarını yapılandırabilirsiniz.

Portal

1. Azure portalında oturum açın ve NFS Azure dosya paylaşımını içeren FileStorage depolama hesabına gidin.

2. Hizmet menüsünde, Veri depolama'nın altında Dosya paylaşımları'nı seçin.

3. Kök squash ayarını değiştirmek istediğiniz dosya paylaşımını seçin.

4. Hizmet menüsünde Özellikler'i seçin. Ardından Root squash ayarını istediğiniz gibi değiştirin.

   

5. Kök squash değerini güncelleştirmek için Kaydet'i seçin.

Azure PowerShell

1. Azure'da oturum açın ve aboneliğinizi seçin.

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId "<your-subscription-id>"
   

2. Dosya paylaşımında kök sıkıştırmayı etkinleştirmek için aşağıdaki komutu çalıştırın. <resource-group-name>, <storage-account-name> ve <file-share-name> değerleini kendi değerlerinizle değiştirin.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash RootSquash
   

3. Dosya paylaşımında kök sıkıştırmayı devre dışı bırakmak için aşağıdaki komutu çalıştırın. <resource-group-name>, <storage-account-name> ve <file-share-name> değerleini kendi değerlerinizle değiştirin.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash NoRootSquash
   

4. Tüm kullanıcılar için squash'u zorlamak amacıyla, aşağıdaki komutu çalıştırarak kullanıcı kimliklerini anonim olarak eşleyin. <resource-group-name>, <storage-account-name> ve <file-share-name> değerleini kendi değerlerinizle değiştirin.

   Update-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> `
     -RootSquash AllSquash
   

5. Bir dosya paylaşımının kök squash özelliğini görüntülemek için aşağıdaki komutu çalıştırın. <resource-group-name>, <storage-account-name> ve <file-share-name> değerleini kendi değerlerinizle değiştirin.

   Get-AzRmStorageShare `
     -ResourceGroupName <resource-group-name> `
     -StorageAccountName <storage-account-name> `
     -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash
   

Azure CLI

1. Azure'da oturum açın ve aboneliğinizi ayarlayın.

   az login
   az account set --subscription "<your-subscription-id>"  
   

2. Dosya paylaşımında kök sıkıştırmayı etkinleştirmek için aşağıdaki komutu çalıştırın. <resource-group-name>, <storage-account-name> ve <file-share-name> değerleini kendi değerlerinizle değiştirin.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash RootSquash 
   

3. Dosya paylaşımında kök sıkıştırmayı devre dışı bırakmak için aşağıdaki komutu çalıştırın. <resource-group-name>, <storage-account-name> ve <file-share-name> değerleini kendi değerlerinizle değiştirin.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash NoRootSquash 
   

4. Tüm kullanıcılar için squash'u zorlamak amacıyla, aşağıdaki komutu çalıştırarak kullanıcı kimliklerini anonim olarak eşleyin. <resource-group-name>, <storage-account-name> ve <file-share-name> değerleini kendi değerlerinizle değiştirin.

   az storage share-rm update \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name> \
     --root-squash AllSquash 
   

5. Bir dosya paylaşımının kök squash özelliğini görüntülemek için aşağıdaki komutu çalıştırın. <resource-group-name>, <storage-account-name> ve <file-share-name> değerleini kendi değerlerinizle değiştirin.

   az storage share-rm show \
     --resource-group <resource-group-name> \
     --storage-account <storage-account-name> \
     --name <file-share-name>
   

Mevcut bir NFS dosya paylaşımında kök sıkıştırmayı yapılandırma (Microsoft.FileShares)

Microsoft.FileShares kaynak sağlayıcısını kullanan Azure dosya paylaşımları için root squash ayarlarını Azure portalını, Azure PowerShell'i veya Azure CLI'yi kullanarak yapılandırabilirsiniz.

Portal

1. Azure portalında oturum açın ve dosya paylaşımına gidin.

2. Hizmet menüsünde, Ayarlar'ın altında Yapılandırma'yı seçin.

3. Root squash ayarını istediğiniz gibi değiştirin.

   

4. Kök squash değerini güncelleştirmek için Kaydet'i seçin.

Azure PowerShell

Bir dosya paylaşımındaki (Microsoft.FileShares) root squash ayarını PowerShell kullanarak değiştirmek için aşağıdaki komutları çalıştırın. Değişkenleri hedeflenen değerlerinizle değiştirin. -NfProtocolPropertyRootSquash için izin verilen değerler AllSquash, NoRootSquash ve RootSquash değerleridir.

# To learn more about the Az.FileShare module, see https://www.powershellgallery.com/packages/Az.FileShare/0.1.0
Install-Module -Name Az.FileShare -Repository psgallery -RequiredVersion 0.1.0

$resourceGroup = "<your-resource-group-name>"
$shareName = "<your-file-share-name>"

Update-AzFileShare -ResourceName $shareName -ResourceGroupName $resourceGroup -NfProtocolPropertyRootSquash RootSquash

Azure CLI

Bir dosya paylaşımındaki (Microsoft.FileShares) root squash ayarını Azure CLI kullanarak değiştirmek için aşağıdaki komutları çalıştırın. --root-squash için izin verilen değerler AllSquash, NoRootSquash ve RootSquash'dir.

# Install the fileshares extension
az extension add --name fileshares

# Specify your values
shareName="<your-file-share-name>"
resourceGroup="<your-resource-group-name>"

# Update the root squash setting
az fileshare update --name $shareName --resource-group $resourceGroup --root-squash RootSquash

Ayrıca bkz.

• NFS Azure dosya paylaşımları