Azure Dosyalar için kök sıkıştırmayı yapılandırma
NFS dosya paylaşımları için izinler, Azure Dosyalar hizmeti yerine istemci işletim sistemi tarafından zorlanır. Kök squash, NFS'de istemci makineleri tarafından NFS sunucusuna yetkisiz kök düzeyinde erişimi engelleyen bir yönetim güvenlik özelliğidir. Bu işlevsellik, kullanıcı verilerini ve sistem ayarlarını güvenilmeyen veya güvenliği aşılmış istemciler tarafından işlemeye karşı korumanın önemli bir parçasıdır.
Yöneticiler, özellikle istemci makinelerinin tam olarak güvenilmediği senaryolarda, birden çok kullanıcının veya sistemlerin NFS paylaşımına eriştiği ortamlarda kök sıkıştırmayı etkinleştirmelidir. Kök kullanıcıları anonim kullanıcılara dönüştüren kök squash, bir istemci makinesinin güvenliği aşılmış olsa bile, saldırganın NFS sunucusundaki kritik dosyalara erişmek veya bunları değiştirmek için kök ayrıcalıklarından yararlanamadığını güvence altına alır.
Bu makalede, NFS Azure dosya paylaşımları için kök sıkıştırma ayarlarını yapılandırmayı ve değiştirmeyi öğreneceksiniz.
Şunlara uygulanır
| Dosya paylaşımı türü | SMB | NFS |
|---|---|---|
| Standart dosya paylaşımları (GPv2), LRS/ZRS |
|
|
| Standart dosya paylaşımları (GPv2), GRS/GZRS |
|
|
| Premium dosya paylaşımları (filestorage), LRS/ZRS |
|
|
Kök squash Azure Dosyalar ile nasıl çalışır?
Kök squash, kök kullanıcının kullanıcı kimliğini (UID) ve grup kimliğini (GID) sunucudaki anonim kullanıcıya ait bir UID ve GID ile yeniden eşleyerek çalışır. Dosya sistemine erişen kök kullanıcılar, sınırlı izinlere sahip anonim, daha az ayrıcalıklı kullanıcıya/gruba otomatik olarak dönüştürülür.
Kök squash, NFS'de varsayılan davranış olsa da, NFS Azure dosya paylaşımı oluştururken varsayılan seçenek değildir. Dosya paylaşımında kök sıkıştırmayı açıkça etkinleştirmeniz gerekir. Bir NFS Azure dosya paylaşımı oluşturduğunuzda veya daha sonra bunu yapabilirsiniz.
Kök squash ayarları
Üç kök squash ayarı arasından seçim yapabilirsiniz:
- Kök sıkıştırma yok: Kök sıkıştırmayı kapatın. Bu seçenek temel olarak iş yükü belgelerinde belirtildiği gibi disksiz istemciler veya iş yükleri için yararlıdır. Bu, yeni bir NFS Azure dosya paylaşımı oluştururken varsayılan ayardır.
- Tüm squash: Tüm UID'leri ve GID'leri anonim kullanıcıyla eşleyin. Tüm istemciler tarafından salt okunur erişim gerektiren paylaşımlar için kullanışlıdır.
- Kök squash: UID/GID 0'dan (kök) gelen istekleri anonim UID/GID ile eşleyin. Bu, kullanıcı kutusu veya grup personeli gibi eşit derecede hassas olabilecek diğer UID'ler veya GID'ler için geçerli değildir.
Aşağıdaki tabloda, belirli kök sıkıştırma seçenekleri yapılandırıldığında sunucuda gözlemlenen UID davranışı vurgulanmıştır.
| Seçenek | İstemci UID | Sunucu UID |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Mevcut bir NFS dosya paylaşımında kök sıkıştırmayı yapılandırma
Kök squash ayarlarını Azure portalı, Azure PowerShell veya Azure CLI aracılığıyla yapılandırabilirsiniz.
Azure portalında oturum açın ve NFS Azure dosya paylaşımını içeren FileStorage depolama hesabına gidin.
Hizmet menüsünde, Veri depolama'nın altında Dosya paylaşımları'nı seçin.
Kök squash ayarını değiştirmek istediğiniz dosya paylaşımını seçin.
Hizmet menüsünde Özellikler'i seçin. Ardından Kök squash ayarını istediğiniz gibi değiştirin.
Kök squash değerini güncelleştirmek için Kaydet'i seçin.
