Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk a linuxos SQL Serverhez szükséges szolgáltatásfiókokat és fájlrendszer-engedélyeket ismerteti. A Windows-engedélyeken futó SQL Serverről további információt a Windows-szolgáltatásfiókok és -engedélyek konfigurálása című témakörben talál.
Beépített Windows-azonosítók
Annak ellenére, hogy a Linuxon futó SQL Server az mssql operációsrendszer-fiók alatt fut, a kompatibilitás érdekében az alábbi Windows-tagok léteznek az SQL Server-rétegben. Ne távolítsa el vagy tiltsa le őket, hacsak nem ismeri teljes mértékben a kockázatokat.
| Vezető | Alapértelmezett SQL Server-szerepkör | Részletek |
|---|---|---|
BUILTIN\Administrators |
sysadmin | Leképezi a gazdagép gyökérszintű rendszergazdáját. Bizonyos rendszerobjektumok ennek a fióknak a kontextusában futnak. |
NT AUTHORITY\SYSTEM |
public | A Windows SYSTEM fiókhoz fenntartott szolgáltatásazonosító (SID). Továbbra is úgy lett létrehozva, hogy a platformfüggetlen szkriptek sikeresek lehessenek. |
NT AUTHORITY\NETWORK SERVICE |
sysadmin (nincs rögzített szerepkör) | Korábban a windowsos SQL Server-szolgáltatások alapértelmezett indítási fiókja. Csak a visszamenőleges kompatibilitás érdekében jelenik meg. Ezt a Linux alatt futó SQL Server adatbázismotor nem használja. |
Fájl- és címtártulajdon
A mappában /var/opt/mssql lévő összes fájlnak a mssql felhasználó tulajdonában kell lennie, és mssql a csoportnak (mssql:mssql) olvasási és írási hozzáféréssel kell rendelkeznie mindkettőhöz. Ha módosítja az alapértelmezett umaskot (0022), vagy alternatív csatlakoztatási pontokat használ, manuálisan kell újból alkalmaznia ezeket az engedélyeket.
A mappa alapértelmezett engedélyei a mssql következők:
drwxr-xr-x 3 root root 4096 May 14 17:17 ./
drwxr-xr-x 13 root root 4096 Jan 7 2025 ../
drwxrwx--- 7 mssql mssql 4096 May 14 17:17 mssql/
A mssql mappa tartalmának alapértelmezett engedélyei a következők:
drwxrwx--- 7 mssql mssql 4096 May 14 17:17 ./
drwxr-xr-x 3 root root 4096 May 14 17:17 ../
drwxr-xr-x 5 mssql mssql 4096 May 14 17:17 .system/
drwxr-xr-x 2 mssql mssql 4096 May 14 17:17 data/
drwxr-xr-x 3 mssql mssql 4096 Sep 16 22:57 log/
-rw-r--r-- 1 root root 85 May 14 17:17 mssql.conf
drwxrwxr-x 2 mssql mssql 4096 May 14 17:17 secrets/
drwxr-xr-x 2 mssql mssql 4096 May 14 17:17 security/
A felhasználói adatok helyének, a naplófájl helyének vagy a rendszeradatbázis és a naplóhelyek módosításáról további információt az SQL Server linuxos konfigurálása az mssql-conf eszközzel című témakörben talál.
Tipikus SQL Server-címtárak
| Cél | Alapértelmezett elérési út | Részletek |
|---|---|---|
| Rendszer- és felhasználói adatbázisok | /var/opt/mssql/data |
Ide tartoznak masteraz modeltempdbúj adatbázisok, kivéve, ha az mssql-conf átirányítja őket. További információ: A rendszeradatbázisok alapértelmezett helyének módosítása. |
| Tranzakciónaplók (ha külön van) |
/var/opt/mssql/data, vagy a megadott mssql-conf set filelocation.defaultlogdir elérési út. |
A tranzakciónaplók áthelyezésekor tartsa meg ugyanazt a tulajdonjogot. További információ: Az alapértelmezett adatok vagy naplókönyvtár helyének módosítása. |
| Biztonsági másolatok | /var/opt/mssql/data |
Hozzon létre és állítsa be a chown első biztonsági mentés előtt, vagy kötet vagy könyvtár térképezésekor. További információ: Az alapértelmezett biztonsági mentési könyvtár helyének módosítása. |
| Hibanaplók és kiterjesztett eseménynaplók (XE) | /var/opt/mssql/log |
Emellett az alapértelmezett system-health XE munkamenetet is üzemelteti. További információ: Az alapértelmezett hibanapló-fájlkönyvtár helyének módosítása. |
| Memóriaképek | /var/opt/mssql/log |
Magos memóriaképekhez és DBCC CHECK* memóriaképekhez használatos. További információért lásd: Az alapértelmezett hibakeresési fájl könyvtár helyének módosítása. |
| Biztonsági titkos kódok | /var/opt/mssql/secrets |
TLS-tanúsítványokat, oszlop főkulcsokat stb. tárol. |
Az egyes ügynökök minimális SQL Server-szerepkörei
| Ügynök | Fut Linuxként | Csatlakozik ehhez | Szükséges adatbázis-szerepkörök/jogosultságok |
|---|---|---|---|
| Pillanatkép-ügynök |
mssql (SQL Agent feladatán keresztül) |
Distributor | db_owner a terjesztési adatbázisban; olvasás/írás pillanatkép mappában |
| Naplóolvasó ügynök | mssql |
Közzétevő és forgalmazó | db_owner kiadványadatbázisban és -terjesztésben. Szükség lehet a sysadminra a biztonsági másolatból történő inicializálás használatakor |
| Terjesztési ügynök (push) | mssql |
Terjesztő az előfizetőnek | db_owner eloszlásban; db_owner az előfizetési adatbázisban. Pillanatkép mappa olvasása. PAL-tag. |
| Terjesztési ügynök (lekérés) |
mssql (előfizetőn) |
Előfizető a terjesztő számára Terjesztő az előfizetőnek |
Ugyanaz, mint a terjesztési ügynök (küldés), de a snapshot megosztási engedélyek az előfizető gazdagépére vonatkoznak |
| Egyesítési ügynök | mssql |
Közzétevő, forgalmazó, előfizető | db_owner eloszlásban. PAL-tag. Pillanatkép mappa olvasása. Olvasás és írás kiadványi és előfizetési adatbázisokban. |
| Várólista-olvasó ügynök | mssql |
Distributor | db_owner eloszlásban. A kiadványadatbázisban lévő Publisherhez db_owner-ként csatlakozik. |
Ajánlott eljárások
Az mssql SQL Server által használt felhasználó és csoport alapértelmezés szerint nem bejelentkezési fiók, ezért ezt meg kell őrizni. Biztonsági okokból használja a Windows-hitelesítést a Linuxon futó SQL Serverhez, ahol lehetséges. További információ a Windows-hitelesítés linuxos SQL Serverhez való konfigurálásáról : Oktatóanyag: Active Directory-hitelesítés konfigurálása linuxos SQL Serverrel az adutil használatával.
A fájlengedélyek további korlátozása (a parancs chmod 700használatával), ha a címtárnak nincs szüksége csoporthozzáférésre.
Amikor gazdagépkönyvtárakat vagy NFS-megosztásokat tárolókba vagy virtuális gépekre csatol, először hozza létre őket, majd rendelje hozzá a felhasználói azonosítót (UID) 10001 (alapértelmezés szerint mssql).
Kerülje a sysadmin szerepkör hozzáadását az alkalmazás-bejelentkezésekhez. Ehelyett használjon részletes szerepköröket és EXECUTE AS burkolókat. Egy másik sa létrehozása után tiltsa le vagy nevezze át a fiókot. További információ: Az SA-fiók letiltása ajánlott eljárásként.