Biztonsági szempontok linuxos SQL Serverhez

A következőkre vonatkozik:SQL Server Linux rendszeren

Az SQL Server linuxos védelme folyamatban van, mivel a Linux heterogén és folyamatosan fejlődő operációs rendszer. Célunk, hogy segítsük ügyfeleinket a biztonság növekményes javításában, a már meglévőkre építve és az idő múlásával történő finomításra. Ez a lap az SQL Server Linuxon történő biztonságossá tételéhez szükséges alapvető eljárások és erőforrások indexeként szolgál.

Kezdje egy biztonságos Linux-rendszerrel

Ez a cikk feltételezi, hogy az SQL Servert egy edzett és biztonságos Linux-rendszeren telepítette. A biztonsági mértékek Linux-disztribúciónként eltérőek. További információ: Az SQL Server használatának első lépései a SELinux-on.

A biztonsági eljárások a használt Linux-disztribúciótól függően változnak. Részletes útmutatásért forduljon a terjesztési szolgáltatóhoz, és tekintse át az ajánlott eljárásokat. Az alábbi dokumentációkra is hivatkozhat:

Az éles környezetben való üzembe helyezés előtt mindig ellenőrizze a választott platformot és konfigurációt egy ellenőrzött tesztkörnyezetben.

SQL Server biztonsági útmutató alkalmazása

A Linuxon futó SQL Server robusztus biztonsági keretrendszert kínál, amely több védelmi réteget kombinál.

Fiókokat és adatbázis-felhasználókat a minimális jogosultság elve alapján hozhat létre.
A részletes hozzáférés-vezérléshez olyan speciális funkciókat használhat, mint a sorszintű biztonság és a dinamikus adatmaszkolás.
A fájlrendszer biztonsága szigorú tulajdonjoggal és engedélyekkel /var/opt/mssqlkényszeríthető ki, így csak a felhasználó és a mssql csoport rendelkezik megfelelő hozzáféréssel.
A vállalati integrációhoz az Active Directory-hitelesítés lehetővé teszi a Kerberos-alapú egyszeri bejelentkezést (SSO), a központosított jelszószabályzatokat és a csoportalapú hozzáférés-kezelést.
A titkosított kapcsolatok a TLS használatával védik az átvitel alatt lévő adatokat, kiszolgálói vagy ügyfél által kezdeményezett titkosítási lehetőségekkel, valamint az iparági szabványoknak megfelelő tanúsítványok támogatásával.

Ezek a képességek együttesen átfogó megközelítést biztosítanak az SQL Server linuxos üzembe helyezésének biztonságossá tételéhez. Tekintse át és valósítsa meg az alábbi kulcsfontosságú erőforrásokra vonatkozó javaslatokat:

SQL Server-naplózás Linuxon

A Linuxon futó SQL Server támogatja az SQL Server beépített naplózási funkcióját, amely lehetővé teszi a kiszolgálószintű és adatbázisszintű események nyomon követését és naplózását a megfelelőség és a biztonsági monitorozás érdekében.

Kiszolgálónaplózás és kiszolgálónaplózási specifikáció létrehozása

Gyakori ajánlott eljárások

Rendszeresen frissítse a Linux operációs rendszert és az SQL Servert.
A produkciós szervereket kizárólag SQL Server terhelésekre dedikálja.
Alkalmazza a fiókok és szolgáltatások minimális jogosultsági elvét .
Ajánlott eljárásként tiltsa le az SA-fiókot.

Windows és Linux rendszereken általános biztonsági ajánlott eljárásokért tekintse meg az SQL Server biztonsági ajánlott eljárásait

Ajánlott eljárásként tiltsa le az SA-fiókot

Amikor a telepítés után először csatlakozik az SQL Server-példányhoz a rendszergazdai (sa) fiókkal, fontos, hogy kövesse ezeket a lépéseket, majd azonnal tiltsa le a sa fiókot biztonsági ajánlott eljárásként.

Hozzon létre egy új bejelentkezést, és legyen tagja a sysadmin kiszolgálói szerepkörnek.
- Attól függően, hogy rendelkezik-e tárolóval vagy nem tárolóalapú telepítéssel, engedélyezze a Windows-hitelesítést, és hozzon létre egy új Windows-alapú bejelentkezést, és adja hozzá a sysadmin kiszolgálói szerepkörhöz.
  - oktatóanyag: Active Directory-hitelesítés konfigurálása az Adutil használatával linuxos SQL Serverrel
  - oktatóanyag: Active Directory-hitelesítés konfigurálása SQL Serverrel Linux-tárolókon
- Ellenkező esetben hozzon létre egy bejelentkezést SQL Server-hitelesítéssel, és adja hozzá a sysadmin kiszolgálói szerepkörhöz.
Csatlakozzon az SQL Server-példányhoz a létrehozott új bejelentkezéssel.
A biztonsági ajánlott eljárásnak megfelelően tiltsa le a sa fiókot.

A Linuxon futó SQL Server biztonsági korlátozásai

A Linuxon futó SQL Server jelenleg a következő korlátozásokkal rendelkezik:

Linuxon az SQL Server 2025 -től kezdve (17.x) egyéni jelszóházirendet is kényszeríthet. További információ: Egyéni jelszóházirend beállítása SQL-bejelentkezésekhez linuxos SQL Serveren.

Az SQL Server 2022 -ben (16.x) Linux és korábbi verziókban szabványos jelszóházirendet biztosítunk:
- MUST_CHANGE az egyetlen konfigurálható lehetőség.
- Ha engedélyezve van a CHECK_POLICY beállítás, csak az SQL Server által biztosított alapértelmezett házirend lesz kényszerítve, és nem alkalmazza az Active Directory-csoportszabályzatokban definiált Windows-jelszóházirendeket.
- Az SQL Server-hitelesítés használata esetén a jelszó lejárata 90 napig tart. A probléma megoldásához fontolja meg az ALTER LOGIN módosítását.
Az bővíthető kulcskezelés (EKM) csak az Azure Key Vaulton (AKV) keresztül támogatott az SQL Server 2022 (16.x) CU12-ben, és a korábbi verziókban nem érhető el. A külső EKM-szolgáltatók nem támogatottak a Linux operációs rendszereken futó SQL Server esetében.
Az SQL Server hitelesítési módja nem tiltható le.
Az SQL Server saját önaláírt tanúsítványt hoz létre a kapcsolatok titkosításához. Az SQL Server konfigurálható úgy, hogy a TLS-hez felhasználó által megadott tanúsítványt használjon.
A Linux-alapú SQL Server nem felel meg a FIPS-nek.

Az SQL Server biztonságossá tétele Linux-tárolótelepítéseken

Az SQL Server-tárolók biztonságossá tételéről további információt az SQL Server Linux-tárolók biztonságossá tételével kapcsolatban talál.

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2026-01-02