Beveiligingsoverwegingen voor SQL Server in Linux

Van toepassing op:SQL Server op Linux

Het beveiligen van SQL Server op Linux is een doorlopend proces, omdat Linux een heterogene en continu veranderende besturingssysteem is. Ons doel is om onze klanten te helpen de beveiliging stapsgewijs te verbeteren, voort te bouwen op wat ze al hebben en in de loop van de tijd verfijnen. Deze pagina fungeert als een index van belangrijke procedures en resources voor het beveiligen van SQL Server op Linux.

Beginnen met een beveiligd Linux-systeem

In dit artikel wordt ervan uitgegaan dat u SQL Server hebt geïmplementeerd op een gehard en beveiligd Linux-systeem. Beveiligingsmaatregelen variëren per Linux-distributie. Zie Aan de slag met SQL Server op SELinux voor meer informatie.

Beveiligingsprocedures variëren op basis van de Linux-distributie die u gebruikt. Neem voor gedetailleerde richtlijnen contact op met uw distributieprovider en bekijk de aanbevolen best practices. U kunt ook verwijzen naar documentatie zoals:

Valideer altijd uw gekozen platform en configuratie in een gecontroleerde testomgeving voordat u implementeert in productie.

Sql Server-beveiligingsrichtlijnen toepassen

SQL Server op Linux biedt een robuust beveiligingsframework dat meerdere beveiligingslagen combineert.

Maak accounts en databasegebruikers volgens het principe van minimale bevoegdheden.
Gebruik geavanceerde functies zoals beveiliging op rijniveau en dynamische gegevensmaskering voor gedetailleerd toegangsbeheer.
Beveiliging van het bestandssysteem wordt afgedwongen door strikte eigendoms- en toegangsrechten onder /var/opt/mssql, zodat alleen de mssql gebruiker en groep de juiste rechten hebben.
Active Directory-verificatie maakt eenmalige aanmelding (SSO), gecentraliseerd wachtwoordbeleid en toegangsbeheer op basis van Kerberos mogelijk voor bedrijfsintegratie.
Versleutelde verbindingen beschermen gegevens tijdens overdracht met BEHULP van TLS, met opties voor server- of client-geïnitieerde versleuteling en ondersteuning voor certificaten die voldoen aan industriestandaarden.

Samen bieden deze mogelijkheden een uitgebreide benadering voor het beveiligen van SQL Server-implementaties op Linux. Bekijk en implementeer aanbevelingen van deze belangrijke resources:

SQL Server-controle in Linux

SQL Server op Linux ondersteunt de ingebouwde functie SQL Server-controle, zodat u gebeurtenissen op server- en databaseniveau kunt bijhouden en vastleggen voor naleving en beveiligingsbewaking.

een servercontrole- en servercontrolespecificatie maken

Algemene aanbevolen procedures

Werk het Linux-besturingssysteem en SQL Server regelmatig bij.
Wijd productieservers uitsluitend toe aan SQL Server-workloads.
Pas het principe van minimale bevoegdheden voor accounts en services toe.
Schakel het SA-account uit als best practice.

Raadpleeg de aanbevolen procedures voor SQL Server-beveiliging voor algemene aanbevolen procedures voor beveiliging in Windows en Linux

Het SA-account uitschakelen als best practice

Wanneer u verbinding maakt met uw SQL Server-exemplaar met behulp van het systeembeheerdersaccount (sa) voor het eerst na de installatie, is het belangrijk dat u deze stappen volgt en vervolgens het sa-account onmiddellijk uitschakelt als een aanbevolen beveiligingspraktijk.

Maak een nieuwe aanmelding en maak deze lid van de sysadmin serverfunctie.
- Afhankelijk van of u een container of niet-containerimplementatie hebt, schakelt u Windows-verificatie in en maakt u een nieuwe windows-aanmelding en voegt u deze toe aan de sysadmin serverfunctie.
  - Zelfstudie: Adutil gebruiken om Active Directory-verificatie te configureren met SQL Server op Linux
  - Zelfstudie: Active Directory-verificatie configureren met SQL Server op Linux-containers
- Anders maakt u een aanmelding met behulp van SQL Server-verificatie en voegt u deze toe aan de sysadmin--serverfunctie.
Maak verbinding met het SQL Server-exemplaar met behulp van de nieuwe aanmelding die u hebt gemaakt.
Schakel het sa-account uit, zoals aanbevolen voor best practice voor beveiliging.

Beveiligingsbeperkingen voor SQL Server in Linux

SQL Server op Linux heeft momenteel de volgende beperkingen:

Vanaf SQL Server 2025 (17.x) in Linux kunt u aangepast wachtwoordbeleid afdwingen. Zie Aangepast wachtwoordbeleid instellen voor SQL-aanmeldingen in SQL Server op Linux voor meer informatie.

In SQL Server 2022 (16.x) op Linux en eerdere versies bieden we een standaardwachtwoordbeleid:
- MUST_CHANGE is de enige optie die u kunt configureren.
- Als de CHECK_POLICY optie is ingeschakeld, wordt alleen het standaardbeleid van SQL Server afgedwongen en wordt het Windows-wachtwoordbeleid dat is gedefinieerd in het Active Directory-groepsbeleid niet toegepast.
- Wachtwoordverloop is in code vastgelegd tot 90 dagen als u SQL Server-verificatie gebruikt. U kunt dit probleem omzeilen door de ALTER LOGIN te wijzigen.
Extensible Key Management (EKM) wordt alleen ondersteund via Azure Key Vault (AKV) in SQL Server 2022 (16.x) CU12 en is niet beschikbaar in eerdere versies. EKM-providers van derden worden niet ondersteund voor SQL Server op Linux-besturingssystemen.
De SQL Server-verificatiemodus kan niet worden uitgeschakeld.
SQL Server genereert een eigen zelfondertekend certificaat voor het versleutelen van verbindingen. U kunt SQL Server configureren voor het gebruik van een door de gebruiker verstrekt certificaat voor TLS.
SQL Server op Linux-implementaties zijn niet compatibel met FIPS.

SQL Server beveiligen op Linux-containerimplementaties

Zie Beveiligde SQL Server Linux-containers voor informatie over het beveiligen van SQL Server-containers.

Feedback

Is deze pagina nuttig?

Last updated on 2026-01-02