Linux 上 SQL Server 的安全限制
适用于:SQL Server - Linux
Linux 上的 SQL Server 当前具有以下限制:
- 提供了标准密码策略。
MUST_CHANGE
是可以配置的唯一选项。 不支持CHECK_POLICY
选项。 - 不支持可扩展密钥管理。
- 无法禁用 SQL Server 身份验证模式。
- 如果使用 SQL Server 身份验证,则密码过期时间将硬编码为 90 天。
- 不支持使用 Azure Key Vault 中存储的密钥。
- SQL Server 生成自己的自签名证书,用于加密连接。 可以将 SQL Server 配置为使用用户提供的用于 TLS 的证书。
注意
如果不打算将 SQL Server 容器连接到 Windows Active Directory,则仅使用 SQL Server 身份验证时,密码过期时间将硬编码为 90 天。 若要解决此问题,请考虑更改 CHECK_EXPIRATION 策略。
有关 SQL Server 中所提供的安全功能的详细信息,请参阅 SQL Server 数据库引擎和 Azure SQL 数据库的安全中心。
最佳做法是将 sa
帐户禁用
在安装后首次使用 sa
帐户连接到 SQL Server 实例时,请务必执行这些步骤,然后立即禁用 sa
登录,此操作为安全最佳做法。
创建新的登录帐户,并将其设为 sysadmin 服务器角色的成员。
根据你使用的是容器还是非容器部署,启用 Windows 身份验证,并创建一个新的基于 Windows 的登录帐户,并将其添加到 sysadmin 服务器角色中。
否则,请使用 SQL Server 身份验证创建登录帐户,并将其添加到 sysadmin 服务器角色。
使用创建的新登录帐户连接 SQL Server 实例。
按照安全最佳做法的建议,禁用
sa
帐户。