Konfigurieren von Root-Squash für Azure Files

✔️ Gilt für: Klassische NFS-Dateifreigaben, die mit dem Microsoft.Storage-Ressourcenanbieter erstellt wurden

✔️ Gilt für: NFS-Dateifreigaben, die mit dem Ressourcenanbieter Microsoft.FileShares erstellt wurden

✖️ Gilt nicht für: SMB-Dateifreigaben

Das Clientbetriebssystem erzwingt Berechtigungen für NFS-Dateifreigaben, nicht den Azure Files Dienst. Root-Squash ist ein administratives Sicherheitsfeature in NFS, das nicht autorisierte NFS-Serverzugriffe durch Clientcomputer auf der Stammebene verhindert. Diese Funktion trägt entscheidend dazu bei, Benutzerdaten und Systemeinstellungen vor Manipulation durch kompromittierte oder nicht vertrauenswürdige Clients zu schützen.

Administratoren sollten Root-Squash in Umgebungen aktivieren, in denen mehrere Benutzer oder Systeme auf die NFS-Freigabe zugreifen. Das gilt insbesondere in Szenarien, in denen Clientcomputer nicht uneingeschränkt vertrauenswürdig sind. Durch das Konvertieren von Root-Benutzern in anonyme Benutzer stellt Root-Squash sicher, dass ein Angreifer selbst dann, wenn ein Clientcomputer kompromittiert ist, keine Root-Berechtigungen ausnutzen kann, um auf kritische Dateien auf dem NFS-Server zuzugreifen oder diese zu ändern.

In diesem Artikel erfahren Sie, wie Sie Root-Squash-Einstellungen für NFS-Azure-Dateifreigaben konfigurieren und ändern.

Zusammenarbeit von Root-Squash und Azure Files

Root squash funktioniert, indem die Benutzer-ID (UID) und die Gruppen-ID (GID) des Root-Benutzers einer UID und GID neu zugeordnet werden, die auf dem Server dem anonymen Benutzer gehören. Stammbenutzer, die auf das Dateisystem zugreifen, werden automatisch in den anonymen, weniger privilegierten Benutzer und die Gruppe mit eingeschränkten Berechtigungen konvertiert.

Root-Squash ist zwar das Standardverhalten in NFS, es ist aber nicht die Standardoption beim Erstellen einer NFS-Azure-Dateifreigabe. Root-Squash muss explizit für die Dateifreigabe aktiviert werden. Dieser Schritt kann beim Erstellen einer NFS-Azure-Dateifreigabe oder auch später durchgeführt werden.

Root-Squash-Einstellungen

Wählen Sie zwischen drei Root-Squash-Einstellungen:

Kein Root-Squash: Deaktiviert das Root-Squashing. Diese Option ist hauptsächlich für datenträgerlose Clients oder Workloads nützlich, wie in der Workloaddokumentation angegeben. Diese Einstellung ist die Standardeinstellung beim Erstellen einer neuen NFS-Azure Dateifreigabe.
All-Squash: Ordnet alle UIDs und GIDs dem anonymen Benutzer zu. Verwenden Sie diese Einstellung für Freigaben, die Lesezugriff für alle Clients erfordern.
Root-Squash: Ordnet Anforderungen von der UID/GID 0 (Root) der anonymen UID/GID zu. Diese Einstellung gilt nicht für andere UIDs oder GIDs, die ebenso sensibel sein können, wie etwa den Benutzer „bin“ oder die Gruppe „staff“.

Die folgende Tabelle zeigt das vom Server beobachtete UID-Verhalten, wenn Sie bestimmte Root-Squash-Optionen konfigurieren.

Auswahl	Client-UID	Server-UID
root_squash	0	65534
root_squash	1000	1000
no_root_squash	0	0
no_root_squash	1000	1000
all_squash	0	65534
all_squash	1000	65534

Für klassische Azure-Dateifreigaben, die den Ressourcenanbieter Microsoft.Storage verwenden, können Sie die Root-Squash-Einstellungen im Azure-Portal, mit Azure PowerShell oder über die Azure CLI konfigurieren.

Melden Sie sich beim Azure-Portal an, und wechseln Sie zum FileStorage-Speicherkonto, das die NFS-Azure Dateifreigabe enthält.
Wählen Sie im Dienstmenü unter "Datenspeicher" die Option "Klassische Dateifreigaben" aus.
Wählen Sie die Dateifreigabe aus, für die Sie die Einstellung für Root Squash ändern möchten.
Wählen Sie im Dienstmenü die Option Eigenschaften aus. Legen Sie dann die Einstellung Root-Squash wie gewünscht fest.
Wählen Sie Speichern aus, um den Root-Squash-Wert zu aktualisieren.

Melden Sie sich bei Azure an, und wählen Sie Ihr Abonnement aus.

Connect-AzAccount
Select-AzSubscription -SubscriptionId "<your-subscription-id>"

Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu aktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash RootSquash
```
Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu deaktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash NoRootSquash
```
Wenn Root-Squash für alle Benutzer erzwungen werden soll, führen Sie den folgenden Befehl aus, um alle Benutzer-IDs dem anonymen Benutzer zuzuordnen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash AllSquash
```

Mit dem folgenden Befehl können Sie die Root-Squash-Eigenschaft für eine Dateifreigabe anzeigen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.

Get-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash

Melden Sie sich in Azure an, und legen Sie Ihr Abonnement fest.

az login
az account set --subscription "<your-subscription-id>"

Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu aktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash RootSquash 
```
Führen Sie den folgenden Befehl aus, um Root-Squash für die Dateifreigabe zu deaktivieren. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash NoRootSquash 
```
Wenn Root-Squash für alle Benutzer erzwungen werden soll, führen Sie den folgenden Befehl aus, um alle Benutzer-IDs dem anonymen Benutzer zuzuordnen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash AllSquash 
```
Mit dem folgenden Befehl können Sie die Root-Squash-Eigenschaft für eine Dateifreigabe anzeigen. Ersetzen Sie <resource-group-name>, <storage-account-name> und <file-share-name> durch Ihre eigenen Werte.
```
az storage share-rm show \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name>
```

Für Azure-Dateifreigaben, die den Ressourcenanbieter Microsoft.FileShares verwenden, können Sie Root-Squash-Einstellungen über das Azure-Portal, Azure PowerShell oder die Azure CLI konfigurieren.

Melden Sie sich beim Azure-Portal an, und wechseln Sie zur Dateifreigabe.
Wählen Sie im Dienstmenü unter Einstellungen die Option Konfiguration aus.
Aktivieren oder deaktivieren Sie die root-squash-Einstellung nach Bedarf.
Wählen Sie Speichern aus, um den Root-Squash-Wert zu aktualisieren.

Um die Root-Squash-Einstellung für eine Dateifreigabe (Microsoft.FileShares) mit Azure PowerShell zu ändern, führen Sie die folgenden Befehle aus. Ersetzen Sie die Variablen durch Ihre Werte. Zulässige Werte sind -RootSquashAllSquash, NoRootSquashund RootSquash.

# To learn more about the Az.FileShare module, see https://www.powershellgallery.com/packages/Az.FileShare/1.0.0
Install-Module -Name Az.FileShare -Repository PSGallery -RequiredVersion 1.0.0

$resourceGroup = "<your-resource-group-name>"
$shareName = "<your-file-share-name>"

Update-AzFileShare -ResourceName $shareName -ResourceGroupName $resourceGroup -RootSquash RootSquash

So ändern Sie die Einstellung für Root Squash auf einer Dateifreigabe (Microsoft.FileShares) mit der Azure CLI: Führen Sie die folgenden Befehle aus. Zulässige Werte sind --root-squashAllSquash, NoRootSquashund RootSquash.

# Install the fileshare extension
az extension add --name fileshare

# Specify your values
shareName="<your-file-share-name>"
resourceGroup="<your-resource-group-name>"

# Update the root squash setting
az fileshare update --name $shareName --resource-group $resourceGroup --root-squash RootSquash

Weitere Informationen

NFS-Azure-Dateifreigaben

Feedback

War diese Seite hilfreich?

Last updated on 2026-06-18

Konfigurieren von Root-Squash für Azure Files

Zusammenarbeit von Root-Squash und Azure Files

Root-Squash-Einstellungen

Konfigurieren von Root Squash auf einer vorhandenen NFS-Dateifreigabe (Microsoft.Storage)

Konfigurieren von Root-Squash auf einer vorhandenen NFS-Dateifreigabe (Microsoft.FileShares)

Weitere Informationen

Feedback

Zusätzliche Ressourcen