Důležité informace o zabezpečení SQL Serveru v Linuxu

Platí pro:SQL Server v Linuxu

Zabezpečení SQL Serveru v Linuxu je průběžný proces, protože Linux je heterogenní a neustále se vyvíjí operační systém. Naším cílem je pomáhat našim zákazníkům postupně vylepšovat zabezpečení, stavět na tom, co již mají, a tuto ochranu v průběhu času zdokonalovat. Tato stránka slouží jako index klíčových postupů a prostředků pro zabezpečení SQL Serveru v Linuxu.

Začínáme se zabezpečeným systémem Linux

Tento článek předpokládá, že jste SQL Server nasadili na posílený a zabezpečený linuxový systém. Bezpečnostní opatření se liší podle distribuce Linuxu. Další informace najdete v tématu Začínáme s SQL Serverem na serveru SELinux.

Postupy zabezpečení se liší v závislosti na linuxové distribuci, kterou používáte. Pokud potřebujete podrobné pokyny, obraťte se na svého poskytovatele distribuce a projděte si doporučené osvědčené postupy. Můžete se také podívat na dokumentaci, například:

• Posílení zabezpečení zabezpečení Red Hat Enterprise Linuxu
• Ubuntu: Návrhy zabezpečení

Před nasazením do produkčního prostředí vždy ověřte zvolenou platformu a konfiguraci v řízeném testovacím prostředí.

Použití pokynů k zabezpečení SQL Serveru

SQL Server v Linuxu nabízí robustní architekturu zabezpečení, která kombinuje více vrstev ochrany.

• Vytvářejte účty a uživatele databáze v zásadě nejnižších oprávnění.

• Pro podrobné řízení přístupu používejte pokročilé funkce, jako je zabezpečení na úrovni řádků a dynamické maskování dat.

• Zabezpečení systému souborů se vynucuje prostřednictvím striktního vlastnictví a oprávnění v rámci /var/opt/mssql, čímž se zajistí, že k němu mají odpovídající přístup pouze mssql uživatelé a skupina.

• Pro podnikovou integraci ověřování active Directory umožňuje jednotné přihlašování založené na protokolu Kerberos, centralizované zásady hesel a správu přístupu na základě skupin.

• Šifrovaná připojení chrání přenášená data pomocí protokolu TLS, s možnostmi šifrování iniciovaného serverem nebo klientem a podporou certifikátů, které splňují oborové standardy.

Tyto funkce společně poskytují komplexní přístup k zabezpečení nasazení SQL Serveru v Linuxu. Projděte si a implementujte doporučení z těchto klíčových prostředků:

• Návod k funkcím zabezpečení SQL Serveru v Linuxu
• SQL Server v Linuxu – Průvodce zabezpečením a oprávněními
• Ověřování Active Directory pro SQL Server v Linuxu
• Tutoriál: Použití nástroje adutil ke konfiguraci ověřování Active Directory s SQL Serverem na Linuxu
• Šifrování připojení k SQL Serveru v Linuxu

Auditování SQL Serveru v Linuxu

SQL Server v Linuxu podporuje integrovanou funkci auditování SQL Serveru, která umožňuje sledovat a protokolovat události na úrovni serveru a databáze pro dodržování předpisů a monitorování zabezpečení.

• Vytvořit audit serveru a specifikaci auditování serveru

Běžné osvědčené postupy

• Pravidelně aktualizujte operační systém Linux a SQL Server.
• Vyhradit produkční servery výhradně úlohám SQL Serveru.
• Použijte zásadu nejnižší úrovně oprávnění pro účty a služby.
• Jako osvědčený postup zakažte účet SA.

Běžné osvědčené postupy zabezpečení ve Windows a Linuxu najdete v osvědčených postupech zabezpečení SQL Serveru.

Zakázat účet SA jako osvědčený postup

Když se poprvé po instalaci připojíte k instanci SQL Serveru pomocí účtu správce systému (sa), je důležité postupovat podle těchto kroků a okamžitě zakázat účet sa jako osvědčený postup zabezpečení.

1. Vytvořte nové přihlášení a nastavte ho jako člena role serveru správce systému.

   • V závislosti na tom, jestli máte kontejner nebo nasazení bez kontejneru, povolte ověřování systému Windows a vytvořte nové přihlášení založené na Systému Windows a přidejte ho do role serveru správce systému.

     • Tutoriál: Použití nástroje adutil ke konfiguraci ověřování Active Directory s SQL Serverem na Linuxu

     • Kurz : Konfigurace ověřování Active Directory s SQL Serverem v kontejnerech Linuxu

   • V opačném případě vytvořte přihlášení pomocí ověřování SQL Serveru a přidejte ho do role serveru správce systému.

2. Připojte se k instanci SQL Serveru pomocí nového přihlášení, které jste vytvořili.

3. Podle doporučení k osvědčeným postupům zabezpečení zakažte sa účet.

Omezení zabezpečení pro SQL Server v Linuxu

SQL Server v Linuxu má aktuálně následující omezení:

• Počínaje SQL Serverem 2025 (17.x) v Linuxu můžete vynutit vlastní zásady hesel. Další informace najdete v tématu Nastavení vlastních zásad hesel pro přihlášení SQL v SQL Serveru v Linuxu.

  V SYSTÉMU SQL Server 2022 (16.x) v Linuxu a starších verzích poskytujeme standardní zásady hesel:

  • MUST_CHANGE je jedinou možností, kterou můžete nakonfigurovat.

  • Pokud je tato CHECK_POLICY možnost povolená, vynucuje se jenom výchozí zásada poskytovaná SQL Serverem a nepoužije zásady hesel systému Windows definované v zásadách skupiny služby Active Directory.

  • Pokud používáte ověřování SQL Serveru, je vypršení platnosti hesla pevně zakódováno na 90 dnů. Pokud chcete tento problém obejít, zvažte změnu ALTER LOGIN.

• Rozšiřitelná správa klíčů (EKM) je podporována pouze prostřednictvím služby Azure Key Vault (AKV) v SQL Serveru 2022 (16.x) CU12 a není k dispozici ve starších verzích. Poskytovatelé EKM třetích stran nejsou podporováni pro SQL Server v operačních systémech Linux.

• Režim ověřování SQL Serveru nejde zakázat.

• SQL Server generuje vlastní certifikát podepsaný svým držitelem pro šifrování připojení. SQL Server můžete nakonfigurovat tak, aby pro protokol TLS používal uživatelský certifikát.

• SQL Server v linuxových nasazeních nevyhovuje standardu FIPS.

Zabezpečení SQL Serveru v nasazení kontejnerů s Linuxem

Informace o zabezpečení kontejnerů SQL Serveru naleznete v tématu Zabezpečení kontejnerů SQL Server Linux.

Související obsah

• Návod k funkcím zabezpečení SQL Serveru v Linuxu
• SQL Server v Linuxu – Průvodce zabezpečením a oprávněními
• Konfigurace SQL Serveru v Linuxu pomocí nástroje mssql-conf
• Edice a podporované funkce SQL Serveru 2022 v systému Linux
• zabezpečení databázového stroje SQL Serveru a služby Azure SQL Database