Настройка корневого упрощения для Azure Files

✔️ Область применения: классические общие папки NFS, созданные с помощью поставщика ресурсов Microsoft.Storage

✔️ Область применения: общие папки NFS, созданные с помощью поставщика ресурсов Microsoft.FileShares (предварительная версия)

✖️ Не применяется к общим папкам SMB

Разрешения для общих папок NFS применяются клиентской операционной системой, а не службой файлов Azure. Корневой сквош — это функция административной безопасности в NFS, которая предотвращает несанкционированный доступ на корневом уровне к серверу NFS клиентскими компьютерами. Эта функция является важной частью защиты пользовательских данных и системных параметров от манипуляций ненадежными или скомпрометированных клиентами.

Администраторы должны включить корневой сквош в средах, где несколько пользователей или систем обращаются к общей папке NFS, особенно в сценариях, когда клиентские компьютеры не являются полностью доверенными. Преобразование суперпользователей в анонимных пользователей с помощью функции root squash гарантирует, что даже если клиентская машина скомпрометирована, злоумышленник не сможет использовать привилегии суперпользователя для получения доступа или изменения критически важных файлов на сервере NFS.

В этой статье вы узнаете, как настроить и изменить параметры функции root squash для файловых ресурсов Azure NFS.

Как работает root squash с файлами Azure.

Корневой сквош работает путем повторного сопоставления идентификатора пользователя (UID) и идентификатора группы (GID) корневого пользователя с UID и GID, принадлежащих анонимному пользователю на сервере. Корневые пользователи, обращающиеся к файловой системе, автоматически преобразуются в анонимного, менее привилегированного пользователя или группы с ограниченными разрешениями.

Хотя корневой сквош является поведением по умолчанию в NFS, это не параметр по умолчанию при создании общей папки NFS Azure. Необходимо явно включить root squash для совместного доступа к файлам. Это можно сделать при создании общей папки NFS Azure или позже.

Настройки root squash

Вы можете выбрать один из трех настроек root squash:

Без root squash: отключите root squash. Этот параметр в основном полезен для клиентов или рабочих нагрузок без дисков, как указано в документации по рабочей нагрузке. Это параметр по умолчанию при создании новой общей папки NFS Azure.
Все squash: соответствие всех UID и GID анонимному пользователю. Полезно для общих папок, требующих доступа только для чтения всеми клиентами.
Корневой сквош: сопоставление запросов из UID/GID 0 (root) в анонимный UID/GID. Это не относится к другим идентификаторам пользовательского интерфейса или GID, которые могут быть одинаково чувствительными, например к группе пользователей или сотрудникам группы.

В следующей таблице описано, как ведет себя UID, когда на сервере настроены определенные параметры root squash.

Параметр	Идентификатор пользовательского интерфейса клиента	UID сервера
root_squash	0	65534
root_squash	1000	1000
no_root_squash (отключение отказоустойчивости корневого пользователя в NFS)	0	0
no_root_squash (отключение отказоустойчивости корневого пользователя в NFS)	1000	1000
all_squash	0	65534
all_squash	1000	65534

Для классических общих папок Azure, которые используют ресурс Microsoft.Storage, можно настроить параметры Root Squash с помощью портала Azure, Azure PowerShell или Azure CLI.

Войдите в портал Azure и перейдите к учетной записи хранения FileStorage, содержащей общую папку NFS Azure.
В меню службы в разделе хранилища данных выберите общие папки.
Выберите общую папку, для которой нужно изменить параметр корневого сквоша.
В меню службы выберите "Свойства". Затем переключите параметр корневого squash как требуется.
Выберите "Сохранить", чтобы обновить значение root squash.

Войдите в Azure и выберите подписку.

Connect-AzAccount
Select-AzSubscription -SubscriptionId "<your-subscription-id>"

Чтобы включить root squash на общем файловом ресурсе, выполните следующую команду. Замените <resource-group-name>, <storage-account-name> и <file-share-name> собственными значениями.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash RootSquash
```
Чтобы отключить корневой сквош в общей папке, выполните следующую команду. Замените <resource-group-name>, <storage-account-name> и <file-share-name> собственными значениями.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash NoRootSquash
```
Чтобы принудительно принудить сквош для всех пользователей, выполните следующую команду, чтобы сопоставить все идентификаторы пользователей с анонимными. Замените <resource-group-name>, <storage-account-name> и <file-share-name> собственными значениями.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash AllSquash
```
Чтобы просмотреть корневое свойство squash для общей папки, выполните следующую команду. Замените <resource-group-name>, <storage-account-name> и <file-share-name> собственными значениями.
```
Get-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash
```

Войдите в Azure и настройте подписку.

az login
az account set --subscription "<your-subscription-id>"

Чтобы включить root squash на общем файловом ресурсе, выполните следующую команду. Замените <resource-group-name>, <storage-account-name> и <file-share-name> собственными значениями.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash RootSquash 
```
Чтобы отключить корневой сквош в общей папке, выполните следующую команду. Замените <resource-group-name>, <storage-account-name> и <file-share-name> собственными значениями.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash NoRootSquash 
```
Чтобы принудительно принудить сквош для всех пользователей, выполните следующую команду, чтобы сопоставить все идентификаторы пользователей с анонимными. Замените <resource-group-name>, <storage-account-name> и <file-share-name> собственными значениями.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash AllSquash 
```
Чтобы просмотреть корневое свойство squash для общей папки, выполните следующую команду. Замените <resource-group-name>, <storage-account-name> и <file-share-name> собственными значениями.
```
az storage share-rm show \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name>
```

Для папок Azure File Share, использующих поставщик ресурсов Microsoft.FileShares (предварительная версия), можно настроить параметры squash в корневом каталоге на портале Azure.

Войдите на портал Azure и перейдите к общей папке.
В меню службы в разделе "Параметры" выберите "Конфигурация".
Переключите параметр Root squash по вашему желанию.
Выберите "Сохранить", чтобы обновить значение root squash.

См. также

Общие папки Azure NFS

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-03-12

Настройка корневого упрощения для Azure Files

Как работает root squash с файлами Azure.

Настройки root squash

Настройка корневого сквоша в существующей общей папке NFS (Microsoft.Storage)

Настройка корневого сквоша в существующей общей папке NFS (Microsoft.FileShares)

См. также

Обратная связь

Дополнительные ресурсы