Настройка корневого упрощения для Файлы Azure

✔️ Область применения: классические общие папки NFS, созданные с помощью поставщика ресурсов Microsoft.Storage

✔️ Применимо к: общим файловым ресурсам NFS, созданным с использованием поставщика ресурсов Microsoft.FileShares

✖️ Не применяется к общим папкам SMB

Операционная система клиента применяет разрешения для общих папок NFS, а не службы Файлы Azure. Корневой сквош — это функция административной безопасности в NFS, которая предотвращает несанкционированный доступ на корневом уровне к серверу NFS клиентскими компьютерами. Эта функция является важной частью защиты пользовательских данных и системных параметров от манипуляций ненадежными или скомпрометированных клиентами.

Администраторы должны включить корневой сквош в средах, где несколько пользователей или систем обращаются к общей папке NFS, особенно в сценариях, когда клиентские компьютеры не являются полностью доверенными. Преобразование суперпользователей в анонимных пользователей с помощью функции root squash гарантирует, что даже если клиентская машина скомпрометирована, злоумышленник не сможет использовать привилегии суперпользователя для получения доступа или изменения критически важных файлов на сервере NFS.

В этой статье вы узнаете, как настроить и изменить параметры функции root squash для файловых ресурсов Azure NFS.

Как работает root squash с файлами Azure.

Root squash работает путем переназначения идентификатора пользователя (UID) и идентификатора группы (GID) пользователя root в UID и GID, принадлежащие анонимному пользователю на сервере. Корневые пользователи, обращающиеся к файловой системе, автоматически преобразуются в анонимного, менее привилегированного пользователя и группу с ограниченными разрешениями.

Хотя корневой сквош является поведением по умолчанию в NFS, это не параметр по умолчанию при создании общей папки NFS Azure. Необходимо явно включить root squash для совместного доступа к файлам. Это можно сделать при создании общей папки NFS Azure или позже.

Настройки root squash

Выберите один из трёх параметров подмены прав root:

  • Без root squash: отключите root squash. Этот параметр в основном полезен для клиентов или рабочих нагрузок без дисков, как указано в документации по рабочей нагрузке. Этот параметр является значением по умолчанию при создании нового файлового ресурса Azure NFS.
  • Все squash: соответствие всех UID и GID анонимному пользователю. Используйте этот параметр для общих папок, требующих доступа только для чтения всеми клиентами.
  • Корневой сквош: сопоставление запросов из UID/GID 0 (root) в анонимный UID/GID. Этот параметр не применяется к другим идентификаторам пользовательского интерфейса или GID, которые могут быть одинаково конфиденциальными, например к ячейкам пользователей или сотрудникам группы.

В следующей таблице показано поведение UID, наблюдаемое на стороне сервера при настройке определённых параметров root squash.

Параметр Идентификатор пользовательского интерфейса клиента UID сервера
root_squash 0 65534
root_squash 1000 1000
no_root_squash (отключение отказоустойчивости корневого пользователя в NFS) 0 0
no_root_squash (отключение отказоустойчивости корневого пользователя в NFS) 1000 1000
all_squash 0 65534
all_squash 1000 65534

Настройка корневого сквоша в существующей общей папке NFS (Microsoft.Storage)

Для классических файловых ресурсов Azure, использующих поставщик ресурсов Microsoft.Storage, можно настроить параметры root squash с помощью портала Azure, Azure PowerShell или Azure CLI.

  1. Войдите на портал Azure и перейдите в учетную запись хранения FileStorage, содержащую общую папку NFS Azure.

  2. В меню службы в разделе хранилища данных выберите классические общие папки.

  3. Выберите общий файловый ресурс, для которого нужно изменить параметр root squash.

  4. В меню службы выберите "Свойства". Затем переключите параметр корневого squash как требуется.

    Снимок экрана, показывающий, как настроить параметры сведения прав root для общей папки NFS в портале Azure.

  5. Выберите "Сохранить", чтобы обновить значение root squash.

Настройка корневого сквоша в существующей общей папке NFS (Microsoft.FileShares)

Для файловых ресурсов Azure, использующих поставщик ресурсов Microsoft.FileShares, можно настроить параметры root squash с помощью портала Azure, Azure PowerShell или Azure CLI.

  1. Войдите на портал Azure и перейдите в общую папку.

  2. В меню службы в разделе "Параметры" выберите "Конфигурация".

  3. Включите или отключите параметр подмены прав root при необходимости.

    образ для microsoft.fileshares root squash

  4. Выберите "Сохранить", чтобы обновить значение root squash.

См. также