Configurar o squash raiz para o Arquivos do Azure
As permissões para compartilhamentos de arquivos NFS são impostas pelo sistema operacional cliente em vez do serviço do Arquivos do Azure. O squash raiz é um recurso de segurança administrativa no NFS que impede o acesso não autorizado de computadores cliente ao nível raiz do servidor NFS. Essa funcionalidade é uma parte importante da proteção dos dados do usuário e das configurações do sistema contra manipulação por clientes não confiáveis ou comprometidos.
Os administradores devem habilitar o squash raiz em ambientes em que vários usuários ou sistemas acessam o compartilhamento NFS, especialmente em cenários em que os computadores cliente não são totalmente confiáveis. Ao converter usuários raiz em usuários anônimos, o squash raiz garante que, mesmo que um computador cliente esteja comprometido, o invasor não poderá explorar privilégios raiz para acessar ou modificar arquivos críticos no servidor NFS.
Neste artigo, você saberá como definir e alterar as configurações de squash raiz para compartilhamentos de arquivos NFS do Azure.
Aplica-se a
| Tipo de compartilhamento de arquivos | SMB | NFS |
|---|---|---|
| Compartilhamentos de arquivos padrão (GPv2), LRS/ZRS |  |
|
| Compartilhamentos de arquivos padrão (GPv2), GRS/GZRS | |
|
| Compartilhamento de arquivos premium (FileStorage), LRS/ZRS | |
 |
Como o squash raiz funciona no Arquivos do Azure
O squash raiz funciona mapeando novamente a ID do usuário (UID) e a ID do grupo (GID) do usuário raiz para uma UID e GID do usuário anônimo no servidor. Os usuários raiz que acessam o sistema de arquivos são convertidos automaticamente ao usuário/grupo anônimo e menos privilegiado com permissões limitadas.
Embora o squash raiz seja o comportamento padrão no NFS, esta não é a opção padrão ao criar um compartilhamento de arquivos NFS do Azure. Você deve habilitar o squash raiz no compartilhamento de arquivos de maneira explícita. Você pode fazer isso ao criar um compartilhamento de arquivos NFS do Azure ou mais tarde.
Configurações de squash raiz
Você pode escolher entre três configurações de squash raiz:
- Sem squash raiz: desative o squash raiz. Essa opção é útil principalmente para clientes ou cargas de trabalho sem disco, conforme especificado na documentação da carga de trabalho. Essa é a configuração padrão ao criar um novo compartilhamento de arquivos NFS do Azure.
- Todos squash: mapear todos os IUDs e GIDs para o usuário anônimo. Útil para compartilhamentos que exigem acesso somente leitura de todos os clientes.
- Squash raiz: mapear solicitações de UID/GID 0 (raiz) para a UID/GID anônima. Isso não se aplica a outras UIDs ou GIDs que também são confidenciais, como o compartimento de usuário ou a equipe de grupo.
A tabela a seguir realça o comportamento da UID observado no servidor quando opções de squash raiz específicas são configuradas.
| Opção | UID de cliente | UID de servidor |
|---|---|---|
| root_squash | 0 | 65534 |
| root_squash | 1000 | 1000 |
| no_root_squash | 0 | 0 |
| no_root_squash | 1000 | 1000 |
| all_squash | 0 | 65534 |
| all_squash | 1000 | 65534 |
Configurar o squash raiz em um compartilhamento de arquivo NFS existente
Você pode definir as configurações de squash raiz por meio do portal do Azure, do Azure PowerShell ou da CLI do Azure.
Entre no portal do Azure e navegue até a conta de armazenamento FileStorage em que está o compartilhamento de arquivos NFS do Azure.
No menu de serviço, em Armazenamento de dados, selecione Compartilhamentos de arquivos.
Selecione o compartilhamento de arquivos do qual você deseja modificar a configuração de squash raiz.
No menu de serviço, selecione Propriedades. Em seguida, alterne a configuração de Squash raiz conforme desejado.
Selecione Salvar para atualizar o valor de squash raiz.
