Configurare squash root per File di Azure

✔️ Si applica a: condivisioni file NFS classiche create con il provider di risorse Microsoft.Storage

✔️ Si applica a: condivisioni di file NFS create con il provider di risorse Microsoft.FileShares

✖️ Non si applica a: condivisioni di file SMB

Il sistema operativo client applica le autorizzazioni per le condivisioni file NFS, non per il servizio File di Azure. Squash root è una funzionalità di sicurezza amministrativa di NFS che impedisce l'accesso non autorizzato a livello radice al server NFS dai computer client. Questa funzionalità è una parte importante della protezione dei dati utente e delle impostazioni di sistema dalla manipolazione da parte di client non attendibili o compromessi.

Gli amministratori devono abilitare lo squash root negli ambienti in cui più utenti o sistemi accedono alla condivisione NFS, soprattutto negli scenari in cui i computer client non sono completamente attendibili. Convertendo gli utenti ROOT in utenti anonimi, squash root garantisce che, anche se un computer client è compromesso, l'utente malintenzionato non può sfruttare i privilegi radice per accedere o modificare i file critici nel server NFS.

Questo articolo illustra come configurare e modificare le impostazioni di squash root per le condivisioni file di Azure NFS.

Funzionamento dello squash root con File di Azure

Il root squashing funziona rimappando l'ID utente (UID) e l'ID gruppo (GID) dell'utente root a un UID e a un GID appartenenti all'utente anonimo sul server. Gli utenti root che accedono al file system vengono convertiti automaticamente nell'utente e nel gruppo anonimi e meno privilegiati, con permessi limitati.

Sebbene squash root sia il comportamento predefinito in NFS, non è l'opzione predefinita quando si crea una condivisione file di Azure NFS. È necessario abilitare in modo esplicito squash root nella condivisione file. Questa operazione può essere eseguita quando si crea una condivisione file di Azure NFS o versioni successive.

Impostazioni squash root

Scegli tra tre impostazioni root squash:

Nessun squash root: disattivazione dello squash root. Questa opzione è utile principalmente per i carichi di lavoro o client senza dischi, come specificato dalla documentazione del carico di lavoro. Questa impostazione è l'impostazione predefinita quando si crea una nuova condivisione file NFS Azure.
Tutti gli squash root: esecuzione del mapping di tutti gli UID e i GID all'utente anonimo. Usare questa impostazione per le condivisioni che richiedono l'accesso in sola lettura da parte di tutti i client.
Squash root: esecuzione del mapping delle richieste da UID/GID 0 (radice) a UID/GID anonimo. Questa impostazione non si applica ad altri UID o GID che potrebbero essere altrettanto sensibili, come il bin utente o lo staff del gruppo.

La tabella seguente evidenzia il comportamento dell'UID osservato dal server quando si configurano specifiche opzioni di root squash.

Opzione	Client UID	Server UID
root_squash	0	65534
root_squash	1000	1000
no_root_squash	0	0
no_root_squash	1000	1000
all_squash	0	65534
all_squash	1000	65534

Per le condivisioni file classiche di Azure che utilizzano il provider di risorse Microsoft.Storage, è possibile configurare le impostazioni di root squash tramite il portale di Azure, Azure PowerShell o interfaccia della riga di comando di Azure.

Accedere al portale di Azure e passare all'account di archiviazione FileStorage contenente la condivisione file NFS Azure.
Nel menu del servizio, in Archiviazione dati selezionare Condivisioni file classiche.
Selezionare la condivisione di file per la quale si desidera modificare l'impostazione root squash.
Nel menu del servizio, selezionare Proprietà. Attivare quindi l'impostazione Squash root come desiderato.
Selezionare Salva per aggiornare il valore di squash root.

Accedere ad Azure e selezionare la sottoscrizione.

Connect-AzAccount
Select-AzSubscription -SubscriptionId "<your-subscription-id>"

Per abilitare lo squash root nella condivisione file, eseguire il comando seguente. Sostituire <resource-group-name>, <storage-account-name> e <file-share-name> con i propri valori.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash RootSquash
```
Per disabilitare lo squash root nella condivisione file, eseguire il comando seguente. Sostituire <resource-group-name>, <storage-account-name> e <file-share-name> con i propri valori.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash NoRootSquash
```
Per forzare il root squashing per tutti gli utenti, eseguire il comando seguente per eseguire il mapping di tutti gli ID utente ad anonimo. Sostituire <resource-group-name>, <storage-account-name> e <file-share-name> con i propri valori.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash AllSquash
```

Per visualizzare la proprietà di squash root per una condivisione file, eseguire il comando seguente. Sostituire <resource-group-name>, <storage-account-name> e <file-share-name> con i propri valori.

Get-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash

Accedere ad Azure e impostare la sottoscrizione.

az login
az account set --subscription "<your-subscription-id>"

Per abilitare lo squash root nella condivisione file, eseguire il comando seguente. Sostituire <resource-group-name>, <storage-account-name> e <file-share-name> con i propri valori.

az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash RootSquash

Per disabilitare lo squash root nella condivisione file, eseguire il comando seguente. Sostituire <resource-group-name>, <storage-account-name> e <file-share-name> con i propri valori.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash NoRootSquash 
```
Per forzare il root squashing per tutti gli utenti, eseguire il comando seguente per eseguire il mapping di tutti gli ID utente ad anonimo. Sostituire <resource-group-name>, <storage-account-name> e <file-share-name> con i propri valori.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash AllSquash 
```
Per visualizzare la proprietà di squash root per una condivisione file, eseguire il comando seguente. Sostituire <resource-group-name>, <storage-account-name> e <file-share-name> con i propri valori.
```
az storage share-rm show \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name>
```

Per le condivisioni file di Azure che usano il provider di risorse Microsoft.FileShares, è possibile configurare le impostazioni root squash usando il portale di Azure, Azure PowerShell o interfaccia della riga di comando di Azure.

Accedere al portale di Azure e passare alla condivisione file.
Nel menu di servizio, selezionare Configurazione in Impostazioni.
Attivare o disattivare l'impostazione root squash in base alle esigenze.
Selezionare Salva per aggiornare il valore di squash root.

Per modificare l'impostazione root squash di una condivisione file (Microsoft.FileShares) con Azure PowerShell, eseguire i comandi seguenti. Sostituisci le variabili con i tuoi valori. I valori consentiti per -RootSquash sono AllSquash, NoRootSquashe RootSquash.

# To learn more about the Az.FileShare module, see https://www.powershellgallery.com/packages/Az.FileShare/1.0.0
Install-Module -Name Az.FileShare -Repository PSGallery -RequiredVersion 1.0.0

$resourceGroup = "<your-resource-group-name>"
$shareName = "<your-file-share-name>"

Update-AzFileShare -ResourceName $shareName -ResourceGroupName $resourceGroup -RootSquash RootSquash

Per modificare l'impostazione root squash per una condivisione file (Microsoft.FileShares) tramite interfaccia della riga di comando di Azure, eseguire i comandi seguenti. I valori consentiti per --root-squash sono AllSquash, NoRootSquashe RootSquash.

# Install the fileshare extension
az extension add --name fileshare

# Specify your values
shareName="<your-file-share-name>"
resourceGroup="<your-resource-group-name>"

# Update the root squash setting
az fileshare update --name $shareName --resource-group $resourceGroup --root-squash RootSquash

Vedere anche

Condivisioni file di Azure NFS

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-06-18

Configurare squash root per File di Azure

Funzionamento dello squash root con File di Azure

Impostazioni squash root

Configurare lo squash radice in una condivisione file NFS esistente (Microsoft.Storage)

Configurare lo squash radice in una condivisione file NFS esistente (Microsoft.FileShares)

Vedere anche

Commenti e suggerimenti

Risorse aggiuntive