Настройка корневой сквош для Файлы Azure
Разрешения для общих папок NFS применяются клиентской ОС, а не службой Файлы Azure. Корневой сквош — это функция административной безопасности в NFS, которая предотвращает несанкционированный доступ на корневом уровне к серверу NFS клиентскими компьютерами. Эта функция является важной частью защиты пользовательских данных и системных параметров от манипуляций ненадежными или скомпрометированных клиентами.
Администраторы должны включить корневой сквош в средах, где несколько пользователей или систем обращаются к общей папке NFS, особенно в сценариях, когда клиентские компьютеры не являются полностью доверенными. Преобразовав корневых пользователей в анонимных пользователей, корневой сквош гарантирует, что даже если клиентский компьютер скомпрометирован, злоумышленник не может использовать права корневого каталога для доступа к критически важным файлам на сервере NFS.
Из этой статьи вы узнаете, как настроить и изменить параметры корневого скваша для общих папок Azure NFS.
Применяется к
| Тип общей папки | SMB | NFS |
|---|---|---|
| Стандартные общие папки (GPv2), LRS/ZRS |  |
|
| Стандартные общие папки (GPv2), GRS/GZRS | |
|
| Общие папки уровня "Премиум" (FileStorage), LRS/ZRS | |
 |
Как работает корневой сквош с Файлы Azure
Корневой сквош работает путем повторного сопоставления идентификатора пользователя (UID) и идентификатора группы (GID) корневого пользователя с UID и GID, принадлежащих анонимному пользователю на сервере. Корневые пользователи, обращающиеся к файловой системе, автоматически преобразуются в анонимного, менее привилегированного пользователя или группы с ограниченными разрешениями.
Хотя корневой сквош является поведением по умолчанию в NFS, это не параметр по умолчанию при создании общей папки NFS Azure. Необходимо явно включить корневой сквош в общей папке. Это можно сделать при создании общей папки NFS Azure или более поздней версии.
Параметры корневого скваша
Вы можете выбрать один из трех корневых параметров сквош:
- Нет корневой скваши: отключите корневой скваширование корня. Этот параметр в основном полезен для клиентов или рабочих нагрузок без дисков, как указано в документации по рабочей нагрузке. Это параметр по умолчанию при создании новой общей папки NFS Azure.
- Все сквошные : сопоставление всех идентификаторов пользовательского интерфейса и GID с анонимным пользователем. Полезно для общих папок, требующих доступа только для чтения всеми клиентами.
- Корневой сквош: сопоставление запросов из UID/GID 0 (root) в анонимный UID/GID. Это не относится к другим идентификаторам пользовательского интерфейса или GID, которые могут быть одинаково чувствительными, например к группе пользователей или сотрудникам группы.
В следующей таблице описано поведение UID, наблюдаемое с сервера при настройке определенных параметров корневого скваша.
| Параметр | Идентификатор пользовательского интерфейса клиента | Пользовательский интерфейс сервера |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Настройка корневого сквоша в существующей общей папке NFS
Параметры корневой сквошной черты можно настроить с помощью портал Azure, Azure PowerShell или Azure CLI.
Войдите в портал Azure и перейдите к учетной записи хранения FileStorage, содержащей общую папку NFS Azure.
В меню службы в разделе хранилища данных выберите общие папки.
Выберите общую папку, для которой нужно изменить параметр корневого сквоша.
В меню службы выберите "Свойства". Затем переключите параметр корневого скваша по мере необходимости.
Нажмите кнопку "Сохранить", чтобы обновить значение корневого скваша.
