Megosztás a következőn keresztül:


Gyökérprés konfigurálása az Azure Fileshoz

Az NFS-fájlmegosztásokra vonatkozó engedélyeket az ügyfél operációs rendszere kényszeríti ki az Azure Files szolgáltatás helyett. A root squash egy felügyeleti biztonsági funkció az NFS-ben, amely megakadályozza az NFS-kiszolgálóhoz való jogosulatlan gyökérszintű hozzáférést az ügyfélszámítógépek számára. Ez a funkció fontos része annak, hogy megvédje a felhasználói adatokat és a rendszerbeállításokat a nem megbízható vagy sérült ügyfelek általi manipulációtól.

A rendszergazdáknak engedélyeznie kell a gyökérszintű összecsukást olyan környezetekben, ahol több felhasználó vagy rendszer fér hozzá az NFS-megosztáshoz, különösen olyan esetekben, amikor az ügyfélszámítógépek nem teljes mértékben megbízhatók. A gyökérfelhasználók névtelen felhasználókká alakításával a root squash biztosítja, hogy még ha egy ügyfélszámítógép is sérül, a támadó nem tudja kihasználni a legfelső szintű jogosultságokat az NFS-kiszolgálón lévő kritikus fájlok eléréséhez vagy módosításához.

Ebből a cikkből megtudhatja, hogyan konfigurálhatja és módosíthatja az NFS Azure-fájlmegosztások gyökérpréses beállításait.

A következőre érvényes:

Fájlmegosztás típusa SMB NFS
Standard szintű fájlmegosztások (GPv2), LRS/ZRS Nem, ez a cikk nem vonatkozik az LRS/ZRS standard SMB Azure-fájlmegosztásokra. Az NFS-megosztások csak prémium Szintű Azure-fájlmegosztásokban érhetők el.
Standard szintű fájlmegosztások (GPv2), GRS/GZRS Nem, ez a cikk nem vonatkozik a standard SMB Azure-fájlmegosztásokra GRS/GZRS. Az NFS csak prémium Szintű Azure-fájlmegosztásokban érhető el.
Prémium fájlmegosztások (FileStorage), LRS/ZRS Nem, ez a cikk nem vonatkozik a prémium szintű SMB Azure-fájlmegosztásokra. Igen, ez a cikk a prémium szintű NFS Azure-fájlmegosztásokra vonatkozik.

A gyökér squash működése az Azure Files használatával

A gyökér fallabda úgy működik, hogy újra megfelelteti a gyökérfelhasználó felhasználói azonosítóját (UID) és csoportazonosítóját (GID) egy, a névtelen felhasználóhoz tartozó UID-hez és GID-hez a kiszolgálón. A fájlrendszerhez hozzáférő legfelső szintű felhasználókat a rendszer automatikusan a névtelen, kevésbé jogosultsággal rendelkező felhasználóvá/csoporttá alakítja, korlátozott engedélyekkel.

Bár az NFS alapértelmezett viselkedése a gyökér squash, nem ez az alapértelmezett beállítás az NFS Azure-fájlmegosztások létrehozásakor. Explicit módon engedélyeznie kell a gyökérprés használatát a fájlmegosztáson. Ezt NFS Azure-fájlmegosztás létrehozásakor vagy később is megteheti.

Gyökér squash beállításai

Három gyökér squash-beállítás közül választhat:

  • Nincs gyökér squash: Kapcsolja ki a gyökér squash. Ez a lehetőség elsősorban a számítási feladatok dokumentációjában megadott lemez nélküli ügyfelek vagy számítási feladatok esetében hasznos. Ez az alapértelmezett beállítás egy új NFS Azure-fájlmegosztás létrehozásakor.
  • Minden fallabda: Az összes felhasználói azonosító és GID leképezése a névtelen felhasználóhoz. Olyan megosztások esetén hasznos, amelyekhez minden ügyfél csak olvasási hozzáférést igényel.
  • Gyökér squash: A UID/GID 0 (gyökér) kéréseinek leképezése a névtelen UID/GID-hez. Ez nem vonatkozik más olyan felhasználói azonosítókra vagy GID-kre, amelyek ugyanolyan érzékenyek lehetnek, például a felhasználói tárolóra vagy a csoport személyzetére.

Az alábbi táblázat a kiszolgálóról megfigyelt UID-viselkedést emeli ki, amikor adott gyökérszintű összecsukási beállítások vannak konfigurálva.

Beállítás Ügyfél UID azonosítója Kiszolgáló uID azonosítója
root_squash 0 65534
root_squash 1000 1000
no_root_squash 0 0
no_root_squash 1000 1000
all_squash 0 65534
all_squash 1000 65534

Gyökérprés konfigurálása meglévő NFS-fájlmegosztáson

A gyökérszintű squash-beállításokat az Azure Portalon, az Azure PowerShellben vagy az Azure CLI-ben konfigurálhatja.

  1. Jelentkezzen be az Azure Portalra, és lépjen az NFS Azure-fájlmegosztást tartalmazó FileStorage tárfiókra.

  2. A szolgáltatásmenü Adattár területén válassza a Fájlmegosztások lehetőséget.

  3. Válassza ki azt a fájlmegosztást, amelyhez módosítani szeretné a gyökérpréses beállítást.

  4. A szolgáltatás menüjében válassza a Tulajdonságok lehetőséget. Ezután állítsa be a Root squash beállítást a kívánt módon.

    Képernyőkép egy NFS-fájlmegosztás gyökérszintű squash-beállításainak konfigurálásáról az Azure Portalon.

  5. Kattintson a Mentés gombra a gyökér squash értékének frissítéséhez.

Lásd még