Вопросы безопасности для SQL Server в Linux

Применимо к:SQL Server в Linux

Защита SQL Server в Linux является текущим процессом, так как Linux является разнородной и постоянно развивающейся операционной системой. Наша цель - помочь нашим клиентам постепенно повышать безопасность, развивая существующие меры и совершенствуя их с течением времени. Эта страница служит индексом ключевых методик и ресурсов для защиты SQL Server в Linux.

Начало работы с безопасной системой Linux

В этой статье предполагается, что вы развернули SQL Server в защищенной и защищенной системе Linux. Меры безопасности зависят от дистрибутива Linux. Дополнительные сведения см. в статье "Начало работы с SQL Server" в SELinux.

Рекомендации по обеспечению безопасности зависят от используемого дистрибутива Linux. Для получения подробных рекомендаций обратитесь к поставщику рассылки и ознакомьтесь с рекомендуемыми рекомендациями. Вы также можете ссылаться на документацию, например:

Всегда проверяйте выбранную платформу и конфигурацию в управляемой тестовой среде перед развертыванием в рабочей среде.

Применение руководства по безопасности SQL Server

SQL Server в Linux предлагает надежную платформу безопасности, объединяющую несколько уровней защиты.

Создайте учетные записи и пользователи базы данных в соответствии с принципом наименьших привилегий.
Используйте расширенные функции, такие как безопасность на уровне строк и динамическое маскирование данных для детального управления доступом.
Безопасность файловой системы обеспечивается за счет строгого владения и настройки прав доступа с использованием /var/opt/mssql, предоставляя доступ только определенному mssql пользователю и группе.
Для корпоративной интеграции аутентификация Active Directory обеспечивает единый вход (SSO) на основе Kerberos, централизованные политики паролей и управление доступом на основе групп.
Зашифрованные подключения защищают данные при передаче с помощью TLS, с параметрами шифрования, инициированного сервером или клиентом, и поддержкой сертификатов, которые соответствуют отраслевым стандартам.

Вместе эти возможности обеспечивают комплексный подход к защите развертываний SQL Server в Linux. Просмотрите и реализуйте рекомендации из этих ключевых ресурсов:

Аудит SQL Server в Linux

SQL Server в Linux поддерживает встроенную функцию аудита SQL Server, что позволяет отслеживать и регистрировать события на уровне сервера и базы данных для мониторинга соответствия требованиям и безопасности.

Создание аудита сервера и спецификации аудита сервера

Распространенные рекомендации

Регулярно обновляйте операционную систему Linux и SQL Server.
Выделяет рабочие серверы исключительно рабочим нагрузкам SQL Server.
Примените принцип наименьших привилегий для учетных записей и служб.
Отключите учетную запись SA в качестве рекомендации.

Общие рекомендации по обеспечению безопасности в Windows и Linux см. в рекомендациях по обеспечению безопасности SQL Server.

Отключение учетной записи SA в качестве рекомендации

При подключении к экземпляру SQL Server с помощью учетной записи системного администратора (sa) в первый раз после установки важно выполнить эти действия, а затем немедленно отключить sa учетную запись в качестве рекомендации по безопасности.

Создайте новое имя входа и назначьте его членом серверной роли sysadmin.
- В зависимости от того, есть ли у вас контейнер или неконтейнерное развертывание, включите проверку подлинности Windows и создайте новое имя входа под управлением Windows и добавьте его в роль сервера sysadmin .
  - Руководство: использование adutil для настройки проверки подлинности Active Directory с SQL Server на Linux
  - Руководство по настройке проверки подлинности Active Directory с помощью SQL Server в контейнерах Linux
- В противном случае создайте учетную запись, используя проверку подлинности SQL Server, и добавьте ее в роль сервера sysadmin.
Подключитесь к экземпляру SQL Server, используя созданное вами имя входа.
sa Отключите учетную запись, как рекомендуется для обеспечения безопасности.

Ограничения системы безопасности для SQL Server на Linux

SQL Server на Linux в настоящее время имеет указанные ниже ограничения.

Начиная с SQL Server 2025 (17.x) в Linux, можно применить настраиваемую политику паролей. Дополнительные сведения см. в разделе "Настройка пользовательской политики паролей для входа SQL в SQL Server в Linux".

В SQL Server 2022 (16.x) в Linux и более ранних версиях мы предоставляем стандартную политику паролей:
- MUST_CHANGE единственный вариант, который можно настроить.
- CHECK_POLICY С включенным параметром применяется только политика по умолчанию, предоставляемая SQL Server, и не применяет политики паролей Windows, определенные в групповых политиках Active Directory.
- Срок действия пароля жестко закодирован до 90 дней, если используется проверка подлинности SQL Server. Чтобы обойти эту проблему, попробуйте изменить ALTER LOGIN.
Расширяемое управление ключами (EKM) поддерживается только в Azure Key Vault (AKV) в SQL Server 2022 (16.x) CU12 и недоступно в более ранних версиях. Сторонние поставщики EKM не поддерживаются для SQL Server в операционных системах Linux.
Не удается отключить режим проверки подлинности SQL Server.
SQL Server создает собственный самозаверяющий сертификат для шифрования подключений. Sql Server можно настроить для использования предоставленного пользователем сертификата для TLS.
Развертывания SQL Server в Linux не соответствуют FIPS.

Защита SQL Server в развертываниях контейнеров Linux

Сведения о защите контейнеров SQL Server см. в разделе "Безопасные контейнеры SQL Server Linux".

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-11-25