Mengonfigurasi root squash untuk Azure Files
Izin untuk berbagi file NFS diberlakukan oleh OS klien daripada layanan Azure Files. Root squash adalah fitur keamanan administratif di NFS yang mencegah akses tingkat akar yang tidak sah ke server NFS oleh komputer klien. Fungsionalitas ini adalah bagian penting dari melindungi data pengguna dan pengaturan sistem dari manipulasi oleh klien yang tidak tepercaya atau disusupi.
Administrator harus mengaktifkan root squash di lingkungan di mana beberapa pengguna atau sistem mengakses berbagi NFS, terutama dalam skenario di mana komputer klien tidak sepenuhnya tepercaya. Dengan mengonversi pengguna root menjadi pengguna anonim, root squash memastikan bahwa bahkan jika komputer klien disusupi, penyerang tidak dapat mengeksploitasi hak istimewa root untuk mengakses atau memodifikasi file penting di server NFS.
Dalam artikel ini, Anda mempelajari cara mengonfigurasi dan mengubah pengaturan root squash untuk berbagi file NFS Azure.
Berlaku untuk
| Jenis berbagi File | SMB | NFS |
|---|---|---|
| Berbagi file standar (GPv2), LRS/ZRS |
|
|
| Berbagi file standar (GPv2), GRS/GZRS |
|
|
| Berbagi file premium (FileStorage), LRS/ZRS |
|
|
Cara kerja root squash dengan Azure Files
Root squash bekerja dengan memetakan ulang ID pengguna (UID) dan ID grup (GID) pengguna root ke UID dan GID milik pengguna anonim di server. Pengguna root yang mengakses sistem file secara otomatis dikonversi ke pengguna/grup anonim yang kurang istimewa dengan izin terbatas.
Meskipun root squash adalah perilaku default di NFS, ini bukan opsi default saat membuat berbagi file NFS Azure. Anda harus secara eksplisit mengaktifkan root squash pada berbagi file. Anda dapat melakukan ini saat membuat berbagi file NFS Azure, atau yang lebih baru.
Pengaturan root squash
Anda dapat memilih dari tiga pengaturan root squash:
- Tidak ada akar squash: Matikan root squashing. Opsi ini terutama berguna untuk klien atau beban kerja tanpa disk seperti yang ditentukan oleh dokumentasi beban kerja. Ini adalah pengaturan default saat membuat berbagi file NFS Azure baru.
- Semua squash: Petakan semua UID dan GID ke pengguna anonim. Berguna untuk berbagi yang memerlukan akses baca-saja oleh semua klien.
- Root squash: Memetakan permintaan dari UID/GID 0 (root) ke UID/GID anonim. Ini tidak berlaku untuk UID atau GID lain yang mungkin sama-sama sensitif, seperti bin pengguna atau staf grup.
Tabel berikut menyoroti perilaku UID yang diamati dari server saat opsi root squash tertentu dikonfigurasi.
| Opsi | UID Klien | Server UID |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Mengonfigurasi root squash pada berbagi file NFS yang ada
Anda dapat mengonfigurasi pengaturan root squash melalui portal Azure, Azure PowerShell, atau Azure CLI.
Masuk ke portal Azure dan navigasikan ke akun penyimpanan FileStorage yang berisi berbagi file NFS Azure.
Di menu layanan, di bawah Penyimpanan data, pilih Berbagi file.
Pilih berbagi file yang ingin Anda ubah pengaturan root squash-nya.
Di menu layanan, pilih Properti. Kemudian alihkan pengaturan Root squash sesuai keinginan.
Pilih Simpan untuk memperbarui nilai root squash.
