Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk:
SQL Server di Linux
Mengamankan SQL Server di Linux adalah proses yang sedang berlangsung karena Linux adalah sistem operasi yang heterogen dan terus berkembang. Tujuan kami adalah untuk membantu pelanggan kami meningkatkan keamanan secara bertahap, membangun apa yang sudah mereka miliki dan menyempurnakan dari waktu ke waktu. Halaman ini berfungsi sebagai indeks praktik dan sumber daya utama untuk mengamankan SQL Server di Linux.
Mulai dengan sistem Linux yang aman
Artikel ini mengasumsikan bahwa Anda menyebarkan SQL Server pada sistem Linux yang diperkeras dan aman. Langkah-langkah keamanan bervariasi menurut distribusi Linux. Untuk informasi selengkapnya, lihat Mulai menggunakan SQL Server di SELinux.
Praktik keamanan bervariasi berdasarkan distribusi Linux yang Anda gunakan. Untuk panduan terperinci, hubungi penyedia distribusi Anda dan tinjau praktik terbaik yang direkomendasikan. Anda juga dapat merujuk ke dokumentasi seperti:
Selalu validasi platform dan konfigurasi yang Anda pilih di lingkungan pengujian terkontrol sebelum menyebarkan ke produksi.
Menerapkan panduan keamanan SQL Server
SQL Server di Linux menawarkan kerangka kerja keamanan yang kuat yang menggabungkan beberapa lapisan perlindungan.
Buat akun dan pengguna database dengan prinsip hak istimewa paling sedikit.
Gunakan fitur tingkat lanjut seperti keamanan tingkat baris dan masking data dinamis untuk kontrol akses terperinci.
Keamanan sistem file diberlakukan melalui kepemilikan dan izin yang ketat di bawah
/var/opt/mssql, memastikan hanyamssqlpengguna dan grup yang memiliki akses yang sesuai.Untuk integrasi perusahaan, autentikasi Direktori Aktif memungkinkan akses menyeluruh (SSO) berbasis Kerberos, kebijakan kata sandi terpusat, dan manajemen akses berbasis grup.
Koneksi terenkripsi melindungi data saat transit menggunakan TLS, dengan opsi untuk enkripsi server atau yang dimulai klien, dan dukungan untuk sertifikat yang memenuhi standar industri.
Bersama-sama, kemampuan ini memberikan pendekatan komprehensif untuk mengamankan penyebaran SQL Server di Linux. Tinjau dan terapkan rekomendasi dari sumber daya utama ini:
- Panduan untuk fitur keamanan SQL Server di Linux
- SQL Server di Linux - Panduan keamanan dan izin
- Autentikasi Direktori Aktif untuk SQL Server di Linux
- Tutorial: Menggunakan adutil untuk mengonfigurasi autentikasi Direktori Aktif dengan SQL Server di Linux
- Mengenkripsi koneksi ke SQL Server di Linux
Pengauditan SQL Server di Linux
SQL Server di Linux mendukung fitur Audit SQL Server bawaan, memungkinkan Anda melacak dan mencatat peristiwa tingkat server dan tingkat database untuk pemantauan kepatuhan dan keamanan.
Praktik terbaik umum
- Perbarui sistem operasi Linux dan SQL Server secara teratur.
- Dedikasikan server produksi secara eksklusif untuk beban kerja SQL Server.
- Terapkan prinsip hak istimewa paling sedikit untuk akun dan layanan.
- Nonaktifkan akun SA sebagai praktik terbaik.
Untuk praktik terbaik keamanan umum di Windows dan Linux, lihat praktik terbaik keamanan SQL Server
Menonaktifkan akun SA sebagai praktik terbaik
Saat Anda tersambung ke instans SQL Server menggunakan akun administrator sistem (sa) untuk pertama kalinya setelah penginstalan, penting bagi Anda untuk mengikuti langkah-langkah ini, lalu segera menonaktifkan sa akun sebagai praktik terbaik keamanan.
Buat login baru, serta jadikan sebagai anggota peran server sysadmin.
Bergantung pada apakah Anda memiliki penyebaran kontainer atau non-kontainer, mengaktifkan autentikasi Windows, dan membuat login berbasis Windows baru dan menambahkannya ke peran server sysadmin .
Jika tidak, buat login menggunakan autentikasi SQL Server, dan tambahkan ke peran server sysadmin .
Sambungkan ke instans SQL Server menggunakan login baru yang Anda buat.
Nonaktifkan akun
sa, seperti yang direkomendasikan untuk praktik terbaik keamanan.
Batasan keamanan untuk SQL Server di Linux
SQL Server di Linux saat ini memiliki batasan berikut:
Dimulai dengan SQL Server 2025 (17.x) di Linux, Anda dapat menerapkan kebijakan kata sandi kustom. Untuk informasi selengkapnya, lihat Mengatur kebijakan kata sandi kustom untuk login SQL di SQL Server di Linux.
Di SQL Server 2022 (16.x) di Linux dan versi yang lebih lama, kami menyediakan kebijakan kata sandi standar:
MUST_CHANGEadalah satu-satunya opsi yang dapat Anda konfigurasi.CHECK_POLICYDengan opsi diaktifkan, hanya kebijakan default yang disediakan oleh SQL Server yang diberlakukan, dan tidak menerapkan kebijakan kata sandi Windows yang ditentukan dalam kebijakan grup Direktori Aktif.Kedaluwarsa kata sandi dikodekan secara permanen hingga 90 hari jika Anda menggunakan autentikasi SQL Server. Untuk mengatasi masalah ini, pertimbangkan untuk mengubah ALTER LOGIN.
Extensible Key Management (EKM) hanya didukung melalui Azure Key Vault (AKV) di SQL Server 2022 (16.x) CU12 dan seterusnya, dan tidak tersedia di versi sebelumnya. Penyedia EKM pihak ketiga tidak didukung untuk SQL Server pada sistem operasi Linux.
Mode autentikasi SQL Server tidak dapat dinonaktifkan.
SQL Server menghasilkan sertifikat yang ditandatangani sendiri untuk mengenkripsi koneksi. Anda dapat mengonfigurasi SQL Server untuk menggunakan sertifikat yang disediakan pengguna untuk TLS.
Penyebaran SQL Server di Linux tidak sesuai dengan FIPS.
Mengamankan SQL Server di Penyebaran Kontainer Linux
Untuk informasi tentang mengamankan kontainer SQL Server, lihat Mengamankan kontainer Linux SQL Server.