Konfigurieren von Root-Squash für Azure Files

✔️ Gilt für: Klassische NFS-Dateifreigaben, die mit dem Microsoft.Storage-Ressourcenanbieter erstellt wurden

✔️ Gilt für: NFS-Dateifreigaben, die mit dem Microsoft.FileShares-Ressourcenanbieter erstellt wurden (Vorschau)

✖️ Gilt nicht für: SMB-Dateifreigaben

Berechtigungen für NFS-Dateifreigaben werden vom Clientbetriebssystem und nicht vom Azure Files-Dienst erzwungen. Root-Squash ist ein administratives Sicherheitsfeature in NFS, das nicht autorisierte NFS-Serverzugriffe durch Clientcomputer auf der Stammebene verhindert. Diese Funktion trägt entscheidend dazu bei, Benutzerdaten und Systemeinstellungen vor Manipulation durch kompromittierte oder nicht vertrauenswürdige Clients zu schützen.

Administratoren sollten Root-Squash in Umgebungen aktivieren, in denen mehrere Benutzer oder Systeme auf die NFS-Freigabe zugreifen. Das gilt insbesondere in Szenarien, in denen Clientcomputer nicht uneingeschränkt vertrauenswürdig sind. Durch das Konvertieren von Root-Benutzern in anonyme Benutzer stellt Root-Squash sicher, dass ein Angreifer selbst dann, wenn ein Clientcomputer kompromittiert ist, keine Root-Berechtigungen ausnutzen kann, um auf kritische Dateien auf dem NFS-Server zuzugreifen oder diese zu ändern.

In diesem Artikel erfahren Sie, wie Sie Root-Squash-Einstellungen für NFS-Azure-Dateifreigaben konfigurieren und ändern.

Zusammenarbeit von Root-Squash und Azure Files

Root-Squash ordnet die Benutzer-ID (User ID, UID) und die Gruppen-ID (GID) des Root-Benutzers einer UID und GID zu, die zum anonymen Benutzer auf dem Server gehören. Root-Benutzer, die auf das Dateisystem zugreifen, werden automatisch in den anonymen, weniger privilegierten Benutzer bzw. in die anonyme Gruppe mit eingeschränkten Berechtigungen konvertiert.

Root-Squash ist zwar das Standardverhalten in NFS, es ist aber nicht die Standardoption beim Erstellen einer NFS-Azure-Dateifreigabe. Root-Squash muss explizit für die Dateifreigabe aktiviert werden. Dieser Schritt kann beim Erstellen einer NFS-Azure-Dateifreigabe oder auch später durchgeführt werden.

Root-Squash-Einstellungen

Es stehen drei Root-Squash-Einstellungen zur Auswahl:

Kein Root-Squash: Deaktiviert das Root-Squashing. Diese Option ist hauptsächlich für datenträgerlose Clients oder Workloads nützlich, wie in der Workloaddokumentation angegeben. Dies ist die Standardeinstellung beim Erstellen einer neuen NFS-Azure-Dateifreigabe.
All-Squash: Ordnet alle UIDs und GIDs dem anonymen Benutzer zu. Nützlich für Freigaben, die schreibgeschützten Zugriff von allen Clients erfordern.
Root-Squash: Ordnet Anforderungen von der UID/GID 0 (Root) der anonymen UID/GID zu. Gilt nicht für andere UIDs oder GIDs, die ebenso heikel sein können (z. B. Benutzercontainer oder Gruppenmitarbeiter).

Die folgende Tabelle enthält das UID-Verhalten des Servers, wenn bestimmte Root-Squash-Optionen konfiguriert sind:

Auswahl	Client-UID	Server-UID
root_squash	0	65534
root_squash	1000	1000
no_root_squash	0	0
no_root_squash	1000	1000
all_squash	0	65534
all_squash	1000	65534

Für klassische Azure-Dateifreigaben, die den Microsoft.Storage-Ressourcenanbieter verwenden, können Sie Root-Squash-Einstellungen über das Azure-Portal, Azure PowerShell oder die Azure CLI konfigurieren.

Melden Sie sich beim Azure-Portal an, und navigieren Sie zum FileStorage-Speicherkonto mit der NFS-Azure-Dateifreigabe.
Wählen Sie im Dienstmenüunter Datenspeicher die Option Dateifreigaben aus.
Wählen Sie die Dateifreigabe aus, für die Sie die Root-Squash-Einstellungen ändern möchten.
Wählen Sie im Dienstmenü die Option Eigenschaften aus. Legen Sie dann die Einstellung Root-Squash wie gewünscht fest.
Wählen Sie Speichern aus, um den Root-Squash-Wert zu aktualisieren.

Melden Sie sich bei Azure an, und wählen Sie Ihr Abonnement aus.

Connect-AzAccount
Select-AzSubscription -SubscriptionId "<your-subscription-id>"

Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu aktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash RootSquash
```
Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu deaktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash NoRootSquash
```
Wenn Root-Squash für alle Benutzer erzwungen werden soll, führen Sie den folgenden Befehl aus, um alle Benutzer-IDs dem anonymen Benutzer zuzuordnen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash AllSquash
```

Mit dem folgenden Befehl können Sie die Root-Squash-Eigenschaft für eine Dateifreigabe anzeigen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

Get-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash

Melden Sie sich in Azure an, und legen Sie Ihr Abonnement fest.

az login
az account set --subscription "<your-subscription-id>"

Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu aktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash RootSquash 
```
Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu deaktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash NoRootSquash 
```
Wenn Root-Squash für alle Benutzer erzwungen werden soll, führen Sie den folgenden Befehl aus, um alle Benutzer-IDs dem anonymen Benutzer zuzuordnen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash AllSquash 
```
Mit dem folgenden Befehl können Sie die Root-Squash-Eigenschaft für eine Dateifreigabe anzeigen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
az storage share-rm show \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name>
```

Für Azure-Dateifreigaben, die den Microsoft.FileShares-Ressourcenanbieter (Vorschau) verwenden, können Sie im Azure-Portal die Root-Squash-Einstellungen konfigurieren.

Melden Sie sich beim Azure-Portal an, und navigieren Sie zur Dateifreigabe.
Wählen Sie im Dienstmenü unter Einstellungen die Option Konfiguration aus.
Legen Sie die Einstellung Root-Squash wie gewünscht fest.
Wählen Sie Speichern aus, um den Root-Squash-Wert zu aktualisieren.

Weitere Informationen

NFS-Azure-Dateifreigaben

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-12

Freigeben über

Konfigurieren von Root-Squash für Azure Files

Zusammenarbeit von Root-Squash und Azure Files

Root-Squash-Einstellungen

Konfigurieren von Root Squash auf einer vorhandenen NFS-Dateifreigabe (Microsoft.Storage)

Konfigurieren von Root-Squash auf einer vorhandenen NFS-Dateifreigabe (Microsoft.FileShares)

Weitere Informationen

Feedback

Zusätzliche Ressourcen