Säkerhetsöverväganden för SQL Server i Linux

Gäller för:SQL Server i Linux

Att skydda SQL Server på Linux är en pågående process eftersom Linux är ett heterogent och ständigt föränderligt operativsystem. Vårt mål är att hjälpa våra kunder att förbättra säkerheten stegvis, bygga vidare på vad de redan har och förfina över tid. Den här sidan fungerar som ett index över viktiga metoder och resurser för att skydda SQL Server i Linux.

Börja med ett säkert Linux-system

Den här artikeln förutsätter att du distribuerade SQL Server på ett härdat och skyddat Linux-system. Säkerhetsåtgärder varierar beroende på Linux-distribution. Mer information finns i Komma igång med SQL Server på SELinux.

Säkerhetsmetoderna varierar beroende på den Linux-distribution du använder. Om du vill ha detaljerad vägledning kontaktar du distributionsleverantören och går igenom deras rekommenderade metodtips. Du kan också läsa dokumentation som:

• Red Hat Enterprise Linux-säkerhetshärdning
• Ubuntu: Säkerhetsförslag

Verifiera alltid din valda plattform och konfiguration i en kontrollerad testmiljö innan du distribuerar till produktion.

Tillämpa säkerhetsvägledning för SQL Server

SQL Server på Linux erbjuder ett robust säkerhetsramverk som kombinerar flera skyddslager.

• Skapa konton och databasanvändare enligt principen om lägsta behörighet.

• Använd avancerade funktioner som säkerhet på radnivå och dynamisk datamaskering för detaljerad åtkomstkontroll.

• Filsystemsäkerhet framtvingas genom strikt ägarskap och behörigheter under /var/opt/mssql, vilket säkerställer att endast mssql användaren och gruppen har lämplig åtkomst.

• För företagsintegrering möjliggör Active Directory-autentisering Kerberos-baserad enkel inloggning (SSO), centraliserade lösenordsprinciper och gruppbaserad åtkomsthantering.

• Krypterade anslutningar skyddar data under överföring med hjälp av TLS, med alternativ för server- eller klientinitierad kryptering och stöd för certifikat som uppfyller branschstandarder.

Tillsammans ger dessa funktioner en omfattande metod för att skydda SQL Server-distributioner i Linux. Granska och implementera rekommendationer från dessa nyckelresurser:

• genomgång av säkerhetsfunktionerna i SQL Server på Linux
• SQL Server på Linux – säkerhets- och behörighetsguide
• Active Directory-autentisering för SQL Server i Linux
• Självstudie: Använd adutil för att konfigurera Active Directory-autentisering med SQL Server i Linux
• Kryptera anslutningar till SQL Server i Linux

SQL Server-granskning i Linux

SQL Server i Linux stöder den inbyggda SQL Server-granskningsfunktionen, så att du kan spåra och logga händelser på servernivå och databasnivå för efterlevnad och säkerhetsövervakning.

• Skapa en servergranskning och en servergranskningsspecifikation

Vanliga metodtips

• Uppdatera regelbundet Linux-operativsystemet och SQL Server.
• Ägna produktionsservrar uteslutande åt SQL Server-arbetsbelastningar.
• Tillämpa principen om lägsta behörighet för konton och tjänster.
• Inaktivera SA-kontot som bästa praxis.

Vanliga metodtips för säkerhet i Windows och Linux finns i metodtips för SQL Server-säkerhet

Inaktivera SA-kontot som bästa praxis

När du ansluter till din SQL Server-instans med hjälp av systemadministratörskontot (sa) för första gången efter installationen är det viktigt att du följer dessa steg och sedan omedelbart inaktiverar sa-kontot som en metod för säkerhet.

1. Skapa en ny inloggning och gör den till medlem i sysadmin serverroll.

   • Beroende på om du har en container- eller icke-containerdistribution aktiverar du Windows-autentisering och skapar en ny Windows-baserad inloggning och lägger till den i sysadmin-serverrollen.

     • Självstudie: Använd adutil för att konfigurera Active Directory-autentisering med SQL Server i Linux

     • Självstudie: Konfigurera Active Directory-autentisering med SQL Server på Linux-containrar

   • Annars skapar du en inloggning med SQL Server-autentisering och lägger till den i sysadmin serverroll.

2. Anslut till SQL Server-instansen med den nya inloggningen som du skapade.

3. Inaktivera det sa kontot, vilket rekommenderas för bästa praxis för säkerhet.

Säkerhetsbegränsningar för SQL Server i Linux

SQL Server i Linux har för närvarande följande begränsningar:

• Från och med SQL Server 2025 (17.x) i Linux kan du tillämpa en anpassad lösenordsprincip. Mer information finns i Ange anpassad lösenordsprincip för SQL-inloggningar i SQL Server i Linux.

  I SQL Server 2022 (16.x) i Linux och tidigare versioner tillhandahåller vi en standardprincip för lösenord:

  • MUST_CHANGE är det enda alternativ som du kan konfigurera.

  • CHECK_POLICY När alternativet är aktiverat tillämpas endast standardprincipen som tillhandahålls av SQL Server och tillämpar inte de Windows-lösenordsprinciper som definierats i Active Directory-grupprinciperna.

  • Lösenordets giltighetstid är hårdkodad till 90 dagar om du använder SQL Server-autentisering. Du kan lösa det här problemet genom att ändra ALTER LOGIN.

• Utökningsbar nyckelhantering (EKM) stöds endast via Azure Key Vault (AKV) i SQL Server 2022 (16.x) CU12 och senare och är inte tillgängligt i tidigare versioner. EKM-leverantörer från tredje part stöds inte för SQL Server på Linux-operativsystem.

• SQL Server-autentiseringsläget kan inte inaktiveras.

• SQL Server genererar ett eget självsignerat certifikat för kryptering av anslutningar. Du kan konfigurera SQL Server att använda ett användartilldefinat certifikat för TLS.

• SQL Server på Linux-distributioner är inte FIPS-kompatibla.

Skydda SQL Server i Linux-containerdistributioner

Information om hur du skyddar SQL Server-containrar finns i Skydda SQL Server Linux-containrar.

Relaterat innehåll

• genomgång av säkerhetsfunktionerna i SQL Server på Linux
• SQL Server på Linux – säkerhets- och behörighetsguide
• Konfigurera SQL Server på Linux med verktyget mssql-conf
• -utgåvor och funktioner som stöds i SQL Server 2022 på Linux
• Säkerhet för SQL Server Database Engine och Azure SQL Database