共用方式為

Linux 上 SQL Server 的安全考量

適用於:Linux 上的 SQL Server

在 Linux 上保護 SQL Server 是一個持續進行的過程,因為 Linux 是一個異質且持續演進的作業系統。 我們的目標是幫助客戶逐步提升安全性,建立在現有基礎上並隨時間精進。 本頁作為 Linux 上 SQL Server 安全的關鍵實務與資源索引。

從安全的 Linux 系統開始

本文假設你是在強化且安全的 Linux 系統上部署了 SQL Server。 安全措施因 Linux 發行版而異。 欲了解更多資訊,請參閱 SELinux 上的 SQL Server 入門指南。

安全措施會依你使用的 Linux 發行版而異。 如需詳細指引,請聯繫您的配送供應商並檢視他們推薦的最佳實務。 您也可以參考以下文件:

部署到生產環境前,務必在受控的測試環境中驗證所選平台與配置。

套用 SQL Server 安全指引

Linux 上的 SQL Server 提供結合多層防護的強大安全架構。

  • 根據最小權限原則建立帳號和資料庫使用者。

  • 使用進階功能如列級安全與動態資料遮蔽,進行細緻的存取控制。

  • 檔案系統的安全透過嚴格的所有權與權限 /var/opt/mssql來執行,確保只有 mssql 使用者和群組擁有適當的存取權限。

  • 在企業整合方面,Active Directory 認證可啟用基於 Kerberos 的單一登入(SSO)、集中式密碼政策及群組式存取管理。

  • 加密連線透過 TLS 保護傳輸中的資料,並提供伺服器或用戶端發起加密選項,並支援符合產業標準的憑證。

這些功能共同提供一個全面的方案,以確保在 Linux 上的 SQL Server 部署安全。 檢視並執行以下關鍵資源的建議:

Linux 上的 SQL Server 稽核

Linux 上的 SQL Server 支援內建的 SQL Server Audit 功能,讓您能追蹤並記錄伺服器層級及資料庫層級的事件,以促進合規與安全監控。

常見最佳實務

關於 Windows 與 Linux 上的常見安全最佳實務,請參閱 SQL Server 安全最佳實務

停用 SA 帳戶作為最佳做法

當您在安裝后第一次使用系統管理員 (sa) 帳戶連線到 SQL Server 實例時,請務必遵循這些步驟,然後立即停用 sa 帳戶作為安全性最佳做法。

  1. 建立新的登入,並將其設為 sysadmin 伺服器角色的成員。

  2. 使用您建立的新登入,連線至 SQL Server 執行個體。

  3. 推薦的安全性最佳做法為停用 sa 帳戶。

Linux 上的 SQL Server 安全性限制

Linux 上的 SQL Server 目前有下列限制:

  • 從 Linux 上的 SQL Server 2025(17.x)開始,你可以強制自訂密碼政策。 如需詳細資訊,請參閱 在Linux上的SQL Server 中設定 SQL 登入的自訂密碼原則

    在 Linux 及更早版本的 SQL Server 2022(16.x)中,我們提供了標準的密碼政策:

    • MUST_CHANGE 是唯一可以設定的選項。

    • 啟用此 CHECK_POLICY 選項後,僅強制執行 SQL Server 預設的政策,且不會套用 Active Directory 群組政策中定義的 Windows 密碼政策。

    • 如果您使用 SQL Server 驗證,密碼逾期會硬式編碼為 90 天。 為了解決這個問題,可以考慮更換 ALTER LOGIN。

  • 可擴充金鑰管理(EKM)僅在 SQL Server 2022 (16.x) CU12 及更新版本中透過 Azure Key Vault(AKV)支援,較早版本則無法使用。 第三方 EKM 供應商不支援 Linux 作業系統上的 SQL Server。

  • 無法停用 SQL Server 驗證模式。

  • SQL Server 會產生自己的自我簽署憑證以加密連線。 你可以設定 SQL Server 使用使用者提供的 TLS 憑證。

  • Linux 上的 SQL Server 部署不符合 FIPS 規範。

Linux 容器部署上的 SQL Server 安全

關於保護 SQL Server 容器的資訊,請參閱 Secure SQL Server Linux 容器

相關內容

  • Last updated on