Debian上SQL Server安全设置有哪些

Debian上SQL Server安全设置清单

一 身份与访问控制

• 设置高强度且独特的SA密码，定期更换；仅保留必要登录名，禁用或删除默认/测试账户与过期账户。
• 采用最小权限原则：按业务最小集授予权限，避免使用dbo/SA执行日常操作；按角色（如db_datareader、db_datawriter）分配权限，必要时再细化到对象级GRANT/REVOKE/DENY。
• 禁用或限制guest账户对业务数据库的访问。
• 结合企业目录时优先使用Windows 身份验证；在 Linux 上以混合模式运行时，严格管控 SQL 登录与密码策略。

二 网络与加密

• 仅开放必要访问：在主机防火墙限制对数据库端口的入站，仅允许受控来源 IP；默认端口为1433/TCP，必要时可改为非标准端口以降低自动化攻击面。
• 启用传输加密：为客户端与服务器之间的通信配置TLS/SSL，确保凭据与数据在传输过程中加密，防范中间人攻击。
• 精简网络协议面：仅启用TCP/IP，禁用不必要的协议（如VIA、Shared Memory）；在支持的配置中仅开放必要 IP 段的访问。
• 限制连接规模：设置合理的最大并发连接数，降低资源被滥用风险。

三 数据静态与列级加密

• 启用**透明数据加密（TDE）**对数据库文件进行静态加密，保护数据文件与备份在存储中的机密性。
• 对高度敏感字段使用Always Encrypted，实现列级加密，确保加密密钥由应用或密钥保管系统掌控，数据库侧无法明文查看。
• 结合**行级安全性（RLS）**将数据访问控制在行级粒度，限制用户仅能访问与其相关的记录。

四 审计、监控与补丁

• 启用登录审计与关键操作审计，持续监控失败登录与异常访问，建立告警与处置流程。
• 定期查看 SQL Server 错误日志（路径：/var/opt/mssql/log/errorlog），配合系统日志进行关联分析。
• 保持系统与 SQL Server 的安全补丁与依赖更新，及时修复已知漏洞。
• 制定并定期演练备份与恢复策略，包含加密备份与异地/离线副本，确保可验证与可恢复。

五 快速加固命令示例

• 防火墙仅放通内网网段到 1433/TCP（示例为192.168.1.0/24）：
  • UFW：sudo ufw allow from 192.168.1.0/24 to any port 1433/tcp
  • firewalld：sudo firewall-cmd --permanent --zone=public --add-rich-rule=‘rule family=“ipv4” source address=“192.168.1.0/24” port port=“1433” protocol=“tcp” accept’ & & sudo firewall-cmd --reload
• 查看服务与日志：
  • 服务状态：sudo systemctl status mssql-server
  • 实时日志：sudo tail -f /var/opt/mssql/log/errorlog
• 最小权限示例（按需调整）：
  • 创建登录：CREATE LOGIN appuser WITH PASSWORD = ‘StrongP@ssw0rd’;
  • 创建数据库用户：USE mydb; CREATE USER appuser FOR LOGIN appuser;
  • 授予读写：ALTER ROLE db_datareader ADD MEMBER appuser; ALTER ROLE db_datawriter ADD MEMBER appuser;
  • 撤销过度授权：REVOKE EXECUTE ON SCHEMA::dbo FROM appuser;
• 连接验证：sqlcmd -S localhost,1433 -U SA -P ‘YourStrong@Passw0rd’

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！