Configurare squash root per File di Azure
Le autorizzazioni per le condivisioni file NFS vengono applicate dal sistema operativo client anziché dal servizio File di Azure. Squash root è una funzionalità di sicurezza amministrativa di NFS che impedisce l'accesso non autorizzato a livello radice al server NFS dai computer client. Questa funzionalità è una parte importante della protezione dei dati utente e delle impostazioni di sistema dalla manipolazione da parte di client non attendibili o compromessi.
Gli amministratori devono abilitare lo squash root negli ambienti in cui più utenti o sistemi accedono alla condivisione NFS, soprattutto negli scenari in cui i computer client non sono completamente attendibili. Convertendo gli utenti ROOT in utenti anonimi, squash root garantisce che, anche se un computer client è compromesso, l'utente malintenzionato non può sfruttare i privilegi radice per accedere o modificare i file critici nel server NFS.
Questo articolo illustra come configurare e modificare le impostazioni di squash root per le condivisioni file di Azure NFS.
Si applica a
| Tipo di condivisione file | SMB | NFS |
|---|---|---|
| Condivisioni file Standard (GPv2), archiviazione con ridondanza locale/archiviazione con ridondanza della zona |  |
|
| Condivisioni file Standard (GPv2), archiviazione con ridondanza geografica/archiviazione con ridondanza geografica della zona | |
|
| Condivisioni file Premium (FileStorage), archiviazione con ridondanza locale/archiviazione con ridondanza della zona | |
 |
Funzionamento dello squash root con File di Azure
Lo squash root funziona eseguendo il mapping di ID utente (UID) e ID gruppo (GID) dell'utente ROOT a un UID e GID appartenente all'utente anonimo nel server. Gli utenti ROOT che accedono al file system vengono convertiti automaticamente in utente/gruppo anonimo con privilegi inferiori con autorizzazioni limitate.
Sebbene squash root sia il comportamento predefinito in NFS, non è l'opzione predefinita quando si crea una condivisione file di Azure NFS. È necessario abilitare in modo esplicito squash root nella condivisione file. Questa operazione può essere eseguita quando si crea una condivisione file di Azure NFS o versioni successive.
Impostazioni squash root
È possibile scegliere tra tre impostazioni squash root:
- Nessun squash root: disattivazione dello squash root. Questa opzione è utile principalmente per i carichi di lavoro o client senza dischi, come specificato dalla documentazione del carico di lavoro. Questa è l'impostazione predefinita quando si crea una nuova condivisione file di Azure NFS.
- Tutti gli squash root: esecuzione del mapping di tutti gli UID e i GID all'utente anonimo. Utile per le condivisioni che richiedono l'accesso in sola lettura da parte di tutti i client.
- Squash root: esecuzione del mapping delle richieste da UID/GID 0 (radice) a UID/GID anonimo. Ciò non si applica ad altri UID o GID che potrebbero essere ugualmente sensibili, ad esempio bin utente o il personale del gruppo.
Nella tabella seguente viene evidenziato il comportamento di UID osservato dal server quando sono configurate opzioni di squash root specifiche.
| Opzione | Client UID | Server UID |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Configurare lo squash root in una condivisione file NFS esistente
È possibile configurare le impostazioni di squash root tramite il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.
Accedere al portale di Azure e passare all'account di archiviazione FileStorage contenente la condivisione file di Azure NFS.
Nel menu del servizio, in Archiviazione dati, selezionare Condivisioni file.
Selezionare la condivisione file per cui si desidera modificare l'impostazione di squash root.
Nel menu del servizio, selezionare Proprietà. Attivare quindi l'impostazione Squash root come desiderato.
Selezionare Salva per aggiornare il valore di squash root.
