Configurar la squash raíz para Azure Files

✔️ Se aplica a: Recursos compartidos de archivos NFS clásicos creados con el proveedor de recursos Microsoft.Storage

✔️ Se aplica a: recursos compartidos de archivos NFS creados con el proveedor de recursos Microsoft.FileShares

✖️ No se aplica a: recursos compartidos de archivos SMB

El sistema operativo cliente exige permisos para recursos compartidos de archivos NFS, no para el servicio Azure Files. La squash raíz es una característica de seguridad administrativa de NFS que impide el acceso de nivel de raíz no autorizado al servidor NFS por parte de las máquinas cliente. Esta funcionalidad es una parte importante de la protección de los datos de usuario y la configuración del sistema frente a la manipulación por parte de clientes no confiables o que pueden representar un peligro.

Los administradores deben habilitar la squash raíz en entornos en los que varios usuarios o sistemas acceden al recurso compartido NFS, especialmente en escenarios en los que las máquinas cliente no son de plena confianza. Al convertir usuarios raíz en usuarios anónimos, la squash raíz garantiza que, incluso si una máquina cliente está en peligro, el atacante no pueda aprovechar los privilegios raíz para acceder o modificar archivos críticos en el servidor NFS.

En este artículo, aprenderá a configurar y cambiar la configuración de squash raíz para recursos compartidos de archivos de Azure mediante NFS.

Funcionamiento de la squash raíz con Azure Files

Root squash consiste en reasignar el identificador de usuario (UID) y el identificador de grupo (GID) del usuario raíz a un UID y un GID que pertenecen al usuario anónimo del servidor. Los usuarios raíz que acceden al sistema de archivos se convierten automáticamente en el usuario anónimo, con menos privilegios y grupos con permisos limitados.

Aunque la squash raíz es el comportamiento predeterminado en NFS, no es la opción predeterminada al crear un recurso compartido de archivos de Azure mediante NFS. Debe habilitar explícitamente la squash raíz en el recurso compartido de archivos. Puede hacerlo al crear un recurso compartido de archivos de Azure mediante NFS o más adelante.

Configuración de la squash raíz

Elija entre tres configuraciones de squash raíz:

Sin squash raíz: desactivar la squash raíz. Esta opción es principalmente útil para clientes o cargas de trabajo sin disco, tal como se especifica en la documentación de la carga de trabajo. Esta configuración es la predeterminada al crear un nuevo recurso compartido de archivos Azure NFS.
Todo squash: asignar todos los UID y GID al usuario anónimo. Use esta configuración para los recursos compartidos que requieren acceso de solo lectura por parte de todos los clientes.
Squash raíz: asignar solicitudes de UID/GID 0 (raíz) al UID/GID anónimo. Esta configuración no se aplica a otros UID o GID que puedan ser igualmente sensibles, como contenedor de usuarios o personal de grupos.

La siguiente tabla destaca el comportamiento del UID observado en el servidor cuando se configuran opciones específicas de squash raíz.

Opción	UID de cliente	UID del servidor
root_squash	0	65534
root_squash	1000	1000
no_root_squash	0	0
no_root_squash	1000	1000
all_squash	0	65534
all_squash	1000	65534

En los recursos compartidos de archivos clásicos de Azure que usan el proveedor de recursos Microsoft.Storage, puede configurar la configuración de squash raíz a través de Azure Portal, Azure PowerShell o la CLI de Azure.

Inicie sesión en el portal de Azure y vaya a la cuenta de almacenamiento FileStorage que contiene el recurso compartido de archivos Azure NFS.
En el menú servicio, en Almacenamiento de datos, seleccione Recursos compartidos de archivos clásicos.
Seleccione el recurso compartido de archivos para el que desea cambiar la configuración de squash raíz.
En el menú Servicio, seleccione Propiedades. A continuación, cambie la configuración de squash raíz como desee.
Seleccione Guardar para actualizar el valor de squash raíz.

Inicie sesión en Azure y seleccione su suscripción.

Connect-AzAccount
Select-AzSubscription -SubscriptionId "<your-subscription-id>"

Para habilitar la squash raíz en el recurso compartido de archivos, ejecute el siguiente comando. Reemplace <resource-group-name>, <storage-account-name> y <file-share-name> con sus propios valores.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash RootSquash
```
Para deshabilitar la squash raíz en el recurso compartido de archivos, ejecute el siguiente comando. Reemplace <resource-group-name>, <storage-account-name> y <file-share-name> con sus propios valores.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash NoRootSquash
```
Para forzar la squash para todos los usuarios, ejecute el siguiente comando para asignar todos los ID de usuario a anónimos. Reemplace <resource-group-name>, <storage-account-name> y <file-share-name> con sus propios valores.
```
Update-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> `
  -RootSquash AllSquash
```

Para ver la propiedad de la squash raíz de un recurso compartido de archivos, ejecute el siguiente comando. Reemplace <resource-group-name>, <storage-account-name> y <file-share-name> con sus propios valores.

Get-AzRmStorageShare `
  -ResourceGroupName <resource-group-name> `
  -StorageAccountName <storage-account-name> `
  -Name <file-share-name> | fl -Property ResourceGroupName, StorageAccountName, Name, QuotaGiB,AccessTier,EnabledProtocols,RootSquash

Inicie sesión en Azure y configure la suscripción.

az login
az account set --subscription "<your-subscription-id>"

Para habilitar la squash raíz en el recurso compartido de archivos, ejecute el siguiente comando. Reemplace <resource-group-name>, <storage-account-name> y <file-share-name> con sus propios valores.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash RootSquash 
```
Para deshabilitar la squash raíz en el recurso compartido de archivos, ejecute el siguiente comando. Reemplace <resource-group-name>, <storage-account-name> y <file-share-name> con sus propios valores.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash NoRootSquash 
```
Para forzar la squash para todos los usuarios, ejecute el siguiente comando para asignar todos los ID de usuario a anónimos. Reemplace <resource-group-name>, <storage-account-name> y <file-share-name> con sus propios valores.
```
az storage share-rm update \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name> \
  --root-squash AllSquash 
```
Para ver la propiedad de la squash raíz de un recurso compartido de archivos, ejecute el siguiente comando. Reemplace <resource-group-name>, <storage-account-name> y <file-share-name> con sus propios valores.
```
az storage share-rm show \
  --resource-group <resource-group-name> \
  --storage-account <storage-account-name> \
  --name <file-share-name>
```

En los recursos compartidos de archivos clásicos de Azure que usan el proveedor de recursos Microsoft.FileShares, puede definir la configuración de squash raíz a través de Azure Portal, Azure PowerShell o la CLI de Azure.

Inicie sesión en el portal de Azure y vaya al recurso compartido de archivos.
En el menú servicio, en Configuración, seleccione Configuración.
Alterne la configuración de squash raíz como desee.
Seleccione Guardar para actualizar el valor de squash raíz.

Para cambiar la configuración de squash raíz en un recurso compartido de archivos (Microsoft.FileShares) mediante Azure PowerShell, ejecute los siguientes comandos. Reemplace las variables por los valores. Los valores permitidos para -RootSquash son AllSquash, NoRootSquashy RootSquash.

# To learn more about the Az.FileShare module, see https://www.powershellgallery.com/packages/Az.FileShare/1.0.0
Install-Module -Name Az.FileShare -Repository PSGallery -RequiredVersion 1.0.0

$resourceGroup = "<your-resource-group-name>"
$shareName = "<your-file-share-name>"

Update-AzFileShare -ResourceName $shareName -ResourceGroupName $resourceGroup -RootSquash RootSquash

Para cambiar la configuración de squash raíz en un recurso compartido de archivos (Microsoft.FileShares) mediante CLI de Azure, ejecute los siguientes comandos. Los valores permitidos para --root-squash son AllSquash, NoRootSquashy RootSquash.

# Install the fileshare extension
az extension add --name fileshare

# Specify your values
shareName="<your-file-share-name>"
resourceGroup="<your-resource-group-name>"

# Update the root squash setting
az fileshare update --name $shareName --resource-group $resourceGroup --root-squash RootSquash

Consulte también

Recursos compartidos de archivos de Azure mediante NFS

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-06-26

Configurar la squash raíz para Azure Files

Funcionamiento de la squash raíz con Azure Files

Configuración de la squash raíz

Configurar raíz squash en un recurso compartido de archivos NFS existente (Microsoft.Storage)

Configurar la raíz squash en un recurso compartido de archivos NFS existente (Microsoft.FileShares)

Consulte también

Comentarios

Recursos adicionales