Gyökérprés konfigurálása az Azure Fileshoz
Az NFS-fájlmegosztásokra vonatkozó engedélyeket az ügyfél operációs rendszere kényszeríti ki az Azure Files szolgáltatás helyett. A root squash egy felügyeleti biztonsági funkció az NFS-ben, amely megakadályozza az NFS-kiszolgálóhoz való jogosulatlan gyökérszintű hozzáférést az ügyfélszámítógépek számára. Ez a funkció fontos része annak, hogy megvédje a felhasználói adatokat és a rendszerbeállításokat a nem megbízható vagy sérült ügyfelek általi manipulációtól.
A rendszergazdáknak engedélyeznie kell a gyökérszintű összecsukást olyan környezetekben, ahol több felhasználó vagy rendszer fér hozzá az NFS-megosztáshoz, különösen olyan esetekben, amikor az ügyfélszámítógépek nem teljes mértékben megbízhatók. A gyökérfelhasználók névtelen felhasználókká alakításával a root squash biztosítja, hogy még ha egy ügyfélszámítógép is sérül, a támadó nem tudja kihasználni a legfelső szintű jogosultságokat az NFS-kiszolgálón lévő kritikus fájlok eléréséhez vagy módosításához.
Ebből a cikkből megtudhatja, hogyan konfigurálhatja és módosíthatja az NFS Azure-fájlmegosztások gyökérpréses beállításait.
A következőre érvényes:
| Fájlmegosztás típusa | SMB | NFS |
|---|---|---|
| Standard szintű fájlmegosztások (GPv2), LRS/ZRS |
|
|
| Standard szintű fájlmegosztások (GPv2), GRS/GZRS |
|
|
| Prémium fájlmegosztások (FileStorage), LRS/ZRS |
|
|
A gyökér squash működése az Azure Files használatával
A gyökér fallabda úgy működik, hogy újra megfelelteti a gyökérfelhasználó felhasználói azonosítóját (UID) és csoportazonosítóját (GID) egy, a névtelen felhasználóhoz tartozó UID-hez és GID-hez a kiszolgálón. A fájlrendszerhez hozzáférő legfelső szintű felhasználókat a rendszer automatikusan a névtelen, kevésbé jogosultsággal rendelkező felhasználóvá/csoporttá alakítja, korlátozott engedélyekkel.
Bár az NFS alapértelmezett viselkedése a gyökér squash, nem ez az alapértelmezett beállítás az NFS Azure-fájlmegosztások létrehozásakor. Explicit módon engedélyeznie kell a gyökérprés használatát a fájlmegosztáson. Ezt NFS Azure-fájlmegosztás létrehozásakor vagy később is megteheti.
Gyökér squash beállításai
Három gyökér squash-beállítás közül választhat:
- Nincs gyökér squash: Kapcsolja ki a gyökér squash. Ez a lehetőség elsősorban a számítási feladatok dokumentációjában megadott lemez nélküli ügyfelek vagy számítási feladatok esetében hasznos. Ez az alapértelmezett beállítás egy új NFS Azure-fájlmegosztás létrehozásakor.
- Minden fallabda: Az összes felhasználói azonosító és GID leképezése a névtelen felhasználóhoz. Olyan megosztások esetén hasznos, amelyekhez minden ügyfél csak olvasási hozzáférést igényel.
- Gyökér squash: A UID/GID 0 (gyökér) kéréseinek leképezése a névtelen UID/GID-hez. Ez nem vonatkozik más olyan felhasználói azonosítókra vagy GID-kre, amelyek ugyanolyan érzékenyek lehetnek, például a felhasználói tárolóra vagy a csoport személyzetére.
Az alábbi táblázat a kiszolgálóról megfigyelt UID-viselkedést emeli ki, amikor adott gyökérszintű összecsukási beállítások vannak konfigurálva.
| Beállítás | Ügyfél UID azonosítója | Kiszolgáló uID azonosítója |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Gyökérprés konfigurálása meglévő NFS-fájlmegosztáson
A gyökérszintű squash-beállításokat az Azure Portalon, az Azure PowerShellben vagy az Azure CLI-ben konfigurálhatja.
Jelentkezzen be az Azure Portalra, és lépjen az NFS Azure-fájlmegosztást tartalmazó FileStorage tárfiókra.
A szolgáltatásmenü Adattár területén válassza a Fájlmegosztások lehetőséget.
Válassza ki azt a fájlmegosztást, amelyhez módosítani szeretné a gyökérpréses beállítást.
A szolgáltatás menüjében válassza a Tulajdonságok lehetőséget. Ezután állítsa be a Root squash beállítást a kívánt módon.
Kattintson a Mentés gombra a gyökér squash értékének frissítéséhez.
