CentOS SQL Server安全设置方法

CentOS 上 SQL Server 安全设置方法

一 身份与访问控制

• 启用并优先使用Windows 身份验证（如有 Active Directory），结合域密码策略提升账户安全；无法使用域时，采用混合模式并强制实施强密码策略（长度、复杂度、定期更换）。
• 落实最小权限原则：仅授予完成工作所需权限，按业务划分服务器角色/数据库角色，避免滥用高权限（如 sysadmin）。
• 清理多余与高危账户：禁用或删除过期/测试/默认登录，避免共享账户；对 sa 仅保留必要运维场景并严格管控。
• 细化数据库级权限：以“最小够用”为目标为用户/应用授予对象级权限（SELECT/INSERT/UPDATE/EXECUTE 等），并通过角色进行批量授权与回收。

二 加密与传输安全

• 启用传输加密：在 SQL Server 配置中开启强制加密（Force Encryption），确保客户端与服务器之间的 TLS 连接，防止凭据与数据在传输中被窃听。
• 静态数据加密：对生产库启用透明数据加密（TDE），保护数据文件与备份在“静止”状态的安全，配置过程对应用透明。
• 敏感列加密：对高度敏感字段使用Always Encrypted，实现客户端侧密钥保护，即使数据库管理员也无法直接查看明文。

三 网络与防火墙

• 最小化暴露面：仅开放必要端口，默认数据库引擎端口为 TCP 1433；如启用SQL Server Browser，再开放 UDP 1434；未使用服务与端口一律关闭。
• 配置 firewalld：仅对受控来源网段放行 1433（必要时 1434），示例：
  • 仅内网网段放行：sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="1433" protocol="tcp" accept'
  • 重载规则：sudo firewall-cmd --reload
• 变更监听端口与重启服务（可选）：
  • 设置固定端口：sudo sqlcmd -S localhost -U sa -Q "sp_configure 'show advanced options',1; RECONFIGURE; sp_configure 'tcp port', 1433; RECONFIGURE; "
  • 重启：sudo systemctl restart mssql-server
• 主机与内核加固：启用 SELinux 并配置合规策略；禁用不必要的内核模块与服务，减少攻击路径。

四 补丁更新与备份恢复

• 持续更新：定期执行系统与 SQL Server 更新（如 yum update），及时安装官方安全补丁，修复已知漏洞。
• 备份策略：为业务库配置定期全量/差异/日志备份，异地或安全存储备份介质；定期恢复演练验证可用性与完整性。
• 变更与回滚：变更前备份配置与数据库，变更后在维护窗口验证，保留回滚方案。

五 审计监控与基线核查

• 日志与告警：启用并定期审查 SQL Server 错误日志/系统日志，对失败登录、权限变更、异常查询等设置监控与告警。
• 入侵防护：部署 IDS/IPS 与主机加固基线，联动阻断可疑流量与行为。
• 安全基线巡检：按周期核查账户状态、权限分配、加密状态、端口开放、补丁级别与备份有效性，形成整改闭环。
• 快速核查命令示例：
  • 查看监听端口：sudo ss -lntp | grep 1433
  • 本地连接测试：sqlcmd -S localhost -U sa -P 'YourStrongP@ssw0rd'
  • 强制加密与 TDE 状态（示例）：
    • sudo sqlcmd -S localhost -U sa -Q "SELECT name, is_encrypted FROM sys.databases; "
    • 加密连接验证可在客户端驱动启用加密选项后连接测试。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！