Linux 上 SQL Server 的安全限制

适用于：SQL Server - Linux

Linux 上的 SQL Server 当前具有以下限制：

• 提供了标准密码策略。 MUST_CHANGE 是可以配置的唯一选项。 不支持 CHECK_POLICY 选项。
• 不支持可扩展密钥管理。
• 无法禁用 SQL Server 身份验证模式。
• 如果使用 SQL Server 身份验证，则密码过期时间将硬编码为 90 天。
• 不支持使用 Azure Key Vault 中存储的密钥。
• SQL Server 生成自己的自签名证书，用于加密连接。 可以将 SQL Server 配置为使用用户提供的用于 TLS 的证书。

注意

如果不打算将 SQL Server 容器连接到 Windows Active Directory，则仅使用 SQL Server 身份验证时，密码过期时间将硬编码为 90 天。 若要解决此问题，请考虑更改 CHECK_EXPIRATION 策略。

有关 SQL Server 中所提供的安全功能的详细信息，请参阅 SQL Server 数据库引擎和 Azure SQL 数据库的安全中心。

最佳做法是将 sa 帐户禁用

在安装后首次使用 sa 帐户连接到 SQL Server 实例时，请务必执行这些步骤，然后立即禁用 sa 登录，此操作为安全最佳做法。

1. 创建新的登录帐户，并将其设为 sysadmin 服务器角色的成员。

   • 根据你使用的是容器还是非容器部署，启用 Windows 身份验证，并创建一个新的基于 Windows 的登录帐户，并将其添加到 sysadmin 服务器角色中。

     • 教程：使用 adutil 为 Linux 上的 SQL Server 配置 Active Directory 身份验证

     • 教程：为 Linux 上的 SQL Server 容器配置 Active Directory 身份验证

   • 否则，请使用 SQL Server 身份验证创建登录帐户，并将其添加到 sysadmin 服务器角色。

2. 使用创建的新登录帐户连接 SQL Server 实例。

3. 按照安全最佳做法的建议，禁用 sa 帐户。

相关内容

• Linux 上 SQL Server 的安全功能演练
• 用 mssql-conf 工具配置 Linux 上的 SQL Server
• Linux 上 SQL Server 2022 (16.x) 的各版本和支持的功能