مشاركة عبر

تكوين squash الجذر لملفات Azure

  • مقالة

يتم فرض أذونات مشاركات ملفات NFS بواسطة نظام تشغيل العميل بدلا من خدمة ملفات Azure. الجذر squash هي ميزة أمان إدارية في NFS تمنع الوصول غير المصرح به على مستوى الجذر إلى خادم NFS بواسطة أجهزة العميل. هذه الوظيفة هي جزء مهم من حماية بيانات المستخدم وإعدادات النظام من المعالجة من قبل العملاء غير الموثوقين أو المخترقين.

يجب على المسؤولين تمكين squash الجذر في البيئات التي يصل فيها العديد من المستخدمين أو الأنظمة إلى مشاركة NFS، خاصة في السيناريوهات التي لا تكون فيها أجهزة العميل موثوقة بالكامل. من خلال تحويل مستخدمي الجذر إلى مستخدمين مجهولين، يضمن squash الجذر أنه حتى إذا تم اختراق جهاز عميل، لا يمكن للمهاجم استغلال امتيازات الجذر للوصول إلى الملفات الهامة أو تعديلها على خادم NFS.

في هذه المقالة، ستتعلم كيفية تكوين إعدادات squash الجذر وتغييرها لمشاركات ملفات NFS Azure.

ينطبق على

نوع مشاركة الملف SMB NFS
مشاركات الملفات القياسية (GPv2)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS) لا، لا تنطبق هذه المقالة على مشاركات ملفات SMB Azure القياسية LRS/ZRS. لا تتوفر مشاركات NFS إلا في مشاركات ملفات Azure المتميزة.
مشاركات الملفات القياسية (GPv2)، حساب تخزين مكرر جغرافي (GRS) أو حساب تخزين مكرر للمنطقة الجغرافية (GZRS) لا، لا تنطبق هذه المقالة على مشاركات ملفات SMB Azure القياسية GRS/GZRS. يتوفر NFS فقط في مشاركات ملفات Azure المتميزة.
مشاركات الملفات المدفوعة (FileStorage)، حسابات التخزين المكررة محليًا (LRS) وحسابات التخزين المكررة في المنطقة (ZRS) لا، لا تنطبق هذه المقالة على مشاركات ملفات SMB Azure المتميزة. نعم، تنطبق هذه المقالة على مشاركات ملفات Azure NFS المتميزة.

كيفية عمل squash الجذر مع Azure Files

يعمل squash الجذر عن طريق إعادة تعيين معرف المستخدم (UID) ومعرف المجموعة (GID) للمستخدم الجذر إلى UID و GID ينتمي إلى المستخدم المجهول على الخادم. يتم تحويل المستخدمين الجذر الذين يصلون إلى نظام الملفات تلقائيا إلى المستخدم/المجموعة المجهولة الأقل امتيازا بأذونات محدودة.

على الرغم من أن الجذر squash هو السلوك الافتراضي في NFS، فإنه ليس الخيار الافتراضي عند إنشاء مشاركة ملف NFS Azure. يجب تمكين squash الجذر بشكل صريح على مشاركة الملف. يمكنك القيام بذلك عند إنشاء مشاركة ملف NFS Azure، أو في وقت لاحق.

إعدادات الجذر squash

يمكنك الاختيار من بين ثلاثة إعدادات جذر squash:

  • لا يوجد سحق جذر: إيقاف تشغيل سحق الجذر. هذا الخيار مفيد بشكل رئيسي للعملاء أو أحمال العمل التي لا تتطلب قرصا كما هو محدد بواسطة وثائق حمل العمل. هذا هو الإعداد الافتراضي عند إنشاء مشاركة ملف NFS Azure جديدة.
  • All squash: تعيين جميع واجهات المستخدم و GIDs للمستخدم المجهول. مفيدة للمشاركات التي تتطلب الوصول للقراءة فقط من قبل جميع العملاء.
  • الجذر squash: تعيين الطلبات من UID/GID 0 (الجذر) إلى UID/GID المجهول. لا ينطبق هذا على أي واجهات مستخدم أخرى أو GIDs قد تكون حساسة بنفس القدر، مثل سلة المستخدمين أو موظفي المجموعة.

يسلط الجدول التالي الضوء على سلوك UID الذي تمت ملاحظته من الخادم عند تكوين خيارات squash جذر محددة.

الخيار معرف المستخدم الخاص بالعميل معرف المستخدم للخادم
root_squash 0 65534
root_squash 1000 1000
no_root_squash 1 1
no_root_squash 1000 1000
all_squash 0 65534
all_squash 1000 65534

تكوين squash الجذر على مشاركة ملف NFS موجودة

يمكنك تكوين إعدادات squash الجذر عبر مدخل Azure أو Azure PowerShell أو Azure CLI.

  1. سجل الدخول إلى مدخل Microsoft Azure وانتقل إلى حساب تخزين FileStorage الذي يحتوي على مشاركة ملف NFS Azure.

  2. في قائمة الخدمة، ضمن Data storage، حدد File shares.

  3. حدد مشاركة الملف التي تريد تعديل إعداد squash الجذر لها.

  4. في قائمة الخدمة، حدد Properties. ثم قم بتبديل إعداد الجذر squash حسب الرغبة.

    لقطة شاشة توضح كيفية تكوين إعدادات squash الجذر لمشاركة ملف NFS في مدخل Microsoft Azure.

  5. حدد Save لتحديث قيمة squash الجذر.

(راجع أيضًا )