centos下sqlserver安全设置

CentOS 上 SQL Server 安全设置清单

一 身份与访问控制

• 使用混合身份验证（SQL Server + Windows），在具备 Active Directory 时优先采用 Windows 身份验证，统一账户与密码策略管理。为所有账户设置强密码并定期更换，避免共享与默认账户长期使用。
• 遵循最小权限原则：仅授予完成工作所需的最低权限，避免滥用高权限角色（如 sysadmin）。通过角色与细粒度权限进行授权与回收。
• 清理与禁用过期/多余账户；如环境允许，限制或移除 BUILTIN\Administrators 的直接登录能力，降低本地提权风险。
• 在数据库层面禁用或删除 guest 账户，减少未授权访问路径。

二 网络与加密

• 仅开放必要端口：默认数据库引擎端口为 TCP 1433；如启用 SQL Server Browser，再开放 UDP 1434。使用 firewalld 精细化放行，例如：
  • 仅内网网段放行：sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port port="1433" protocol="tcp" accept' & & sudo firewall-cmd --reload
• 修改默认端口为非标准端口（可选）：
  • T-SQL：EXEC sp_configure 'show advanced options', 1; RECONFIGURE; EXEC sp_configure 'tcp port', 14333; RECONFIGURE; 并重启服务。
• 启用传输加密：在 SQL Server 配置中开启强制加密（Force Encryption），确保客户端与服务端之间的 TLS 连接，防止数据在传输中被窃听。
• 如启用 SQL Server Browser，仅在需要时开启，并限制来源网段，避免暴露实例信息。

三 数据静态与列级加密

• 启用透明数据加密（TDE）对数据库文件进行实时加密，保护静态数据：
  • 创建主密钥与证书：CREATE MASTER KEY; CREATE CERTIFICATE TDECert WITH SUBJECT='TDE Certificate';
  • 对目标库启用：ALTER DATABASE YourDB SET ENCRYPTION ON;
• 对高度敏感列使用Always Encrypted，实现客户端侧加密与密钥分离，防止数据库管理员或高权限账号直接读取明文。
• 操作系统层面对备份与数据目录实施文件系统权限与隔离，确保仅 mssql 用户与组具备必要读写权限，例如：
  • chown mssql:mssql /var/opt/mssql/data & & chmod 770 /var/opt/mssql/data

四 审计日志与监控

• 启用并审查 SQL Server 错误日志与系统日志，关注失败登录、异常权限变更与可疑连接，及时处置。
• 在 SSMS 中将登录审核设置为成功与失败均记录，提升可审计性。
• 部署 IDS/IPS 与主机加固（如 SELinux 策略、最小化开放端口与服务），对异常流量与行为进行检测与阻断。
• 定期查看 /var/opt/mssql/log/ 下的日志文件，结合集中化日志平台进行留存与告警。

五 补丁更新与备份恢复

• 保持 CentOS 与 SQL Server 组件及时更新，快速应用官方安全补丁，修复已知漏洞。
• 建立定期备份策略（全量/差异/日志），并进行周期性恢复演练，验证备份可用性与恢复时间目标（RTO/RPO）。
• 将备份文件存放于受限访问位置，必要时对备份再加密并异地保存，防止数据泄露与单点失效。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！