Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
✔️ Область применения: классические общие папки NFS, созданные с помощью поставщика ресурсов Microsoft.Storage
✔️ Применимо к: общим файловым ресурсам NFS, созданным с использованием поставщика ресурсов Microsoft.FileShares
✖️ Не применяется к общим папкам SMB
Операционная система клиента применяет разрешения для общих папок NFS, а не службы Файлы Azure. Корневой сквош — это функция административной безопасности в NFS, которая предотвращает несанкционированный доступ на корневом уровне к серверу NFS клиентскими компьютерами. Эта функция является важной частью защиты пользовательских данных и системных параметров от манипуляций ненадежными или скомпрометированных клиентами.
Администраторы должны включить корневой сквош в средах, где несколько пользователей или систем обращаются к общей папке NFS, особенно в сценариях, когда клиентские компьютеры не являются полностью доверенными. Преобразование суперпользователей в анонимных пользователей с помощью функции root squash гарантирует, что даже если клиентская машина скомпрометирована, злоумышленник не сможет использовать привилегии суперпользователя для получения доступа или изменения критически важных файлов на сервере NFS.
В этой статье вы узнаете, как настроить и изменить параметры функции root squash для файловых ресурсов Azure NFS.
Как работает root squash с файлами Azure.
Root squash работает путем переназначения идентификатора пользователя (UID) и идентификатора группы (GID) пользователя root в UID и GID, принадлежащие анонимному пользователю на сервере. Корневые пользователи, обращающиеся к файловой системе, автоматически преобразуются в анонимного, менее привилегированного пользователя и группу с ограниченными разрешениями.
Хотя корневой сквош является поведением по умолчанию в NFS, это не параметр по умолчанию при создании общей папки NFS Azure. Необходимо явно включить root squash для совместного доступа к файлам. Это можно сделать при создании общей папки NFS Azure или позже.
Настройки root squash
Выберите один из трёх параметров подмены прав root:
- Без root squash: отключите root squash. Этот параметр в основном полезен для клиентов или рабочих нагрузок без дисков, как указано в документации по рабочей нагрузке. Этот параметр является значением по умолчанию при создании нового файлового ресурса Azure NFS.
- Все squash: соответствие всех UID и GID анонимному пользователю. Используйте этот параметр для общих папок, требующих доступа только для чтения всеми клиентами.
- Корневой сквош: сопоставление запросов из UID/GID 0 (root) в анонимный UID/GID. Этот параметр не применяется к другим идентификаторам пользовательского интерфейса или GID, которые могут быть одинаково конфиденциальными, например к ячейкам пользователей или сотрудникам группы.
В следующей таблице показано поведение UID, наблюдаемое на стороне сервера при настройке определённых параметров root squash.
| Параметр | Идентификатор пользовательского интерфейса клиента | UID сервера |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash (отключение отказоустойчивости корневого пользователя в NFS) | 0 | 0 |
| no_root_squash (отключение отказоустойчивости корневого пользователя в NFS) | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Настройка корневого сквоша в существующей общей папке NFS (Microsoft.Storage)
Для классических файловых ресурсов Azure, использующих поставщик ресурсов Microsoft.Storage, можно настроить параметры root squash с помощью портала Azure, Azure PowerShell или Azure CLI.
Войдите на портал Azure и перейдите в учетную запись хранения FileStorage, содержащую общую папку NFS Azure.
В меню службы в разделе хранилища данных выберите классические общие папки.
Выберите общий файловый ресурс, для которого нужно изменить параметр root squash.
В меню службы выберите "Свойства". Затем переключите параметр корневого squash как требуется.
Выберите "Сохранить", чтобы обновить значение root squash.
Настройка корневого сквоша в существующей общей папке NFS (Microsoft.FileShares)
Для файловых ресурсов Azure, использующих поставщик ресурсов Microsoft.FileShares, можно настроить параметры root squash с помощью портала Azure, Azure PowerShell или Azure CLI.
Войдите на портал Azure и перейдите в общую папку.
В меню службы в разделе "Параметры" выберите "Конфигурация".
Включите или отключите параметр подмены прав root при необходимости.
Выберите "Сохранить", чтобы обновить значение root squash.