Sicherheitsüberlegungen für SQL Server unter Linux

Gilt für:SQL Server unter Linux

Die Sicherung von SQL Server unter Linux ist ein fortlaufender Prozess, da Linux ein heterogenes und sich ständig weiterentwickelndes Betriebssystem ist. Unser Ziel ist es, unseren Kunden zu helfen, die Sicherheit schrittweise zu verbessern, indem wir auf dem aufbauen, was sie bereits haben, und dies im Laufe der Zeit verfeinern. Diese Seite dient als Index der wichtigsten Methoden und Ressourcen zum Sichern von SQL Server unter Linux.

Beginnen Sie mit einem sicheren Linux-System

In diesem Artikel wird davon ausgegangen, dass Sie SQL Server auf einem gehärteten und gesicherten Linux-System bereitgestellt haben. Sicherheitsmaßnahmen variieren je nach Linux-Verteilung. Weitere Informationen finden Sie unter "Erste Schritte mit SQL Server auf SELinux".

Sicherheitspraktiken variieren je nach der verwendeten Linux-Verteilung. Für detaillierte Anleitungen wenden Sie sich an Ihren Verteileranbieter, und überprüfen Sie die empfohlenen bewährten Methoden. Sie können sich auch auf die Dokumentation beziehen, z. B.:

Überprüfen Sie immer Ihre ausgewählte Plattform und Konfiguration in einer kontrollierten Testumgebung, bevor Sie sie in der Produktion bereitstellen.

Anwenden von SQL Server-Sicherheitsleitfaden

SQL Server unter Linux bietet ein robustes Sicherheitsframework, das mehrere Schutzebenen kombiniert.

Erstellen Sie Konten und Datenbankbenutzer unter dem Prinzip der geringsten Rechte.
Verwenden Sie erweiterte Features wie Sicherheit auf Zeilenebene und dynamische Datenmaske für eine präzise Zugriffssteuerung.
Die Dateisystemsicherheit wird durch strikte Besitzrechte und Berechtigungen /var/opt/mssqlerzwungen, unter denen sichergestellt wird, dass nur der Benutzer und die mssql Gruppe über angemessenen Zugriff verfügen.
Für die Unternehmensintegration ermöglicht die Active Directory-Authentifizierung kerberosbasiertes Einmaliges Anmelden (Single Sign-On, SSO), zentralisierte Kennwortrichtlinien und gruppenbasierte Zugriffsverwaltung.
Verschlüsselte Verbindungen schützen Daten während der Übertragung mithilfe von TLS, mit Optionen für server- oder clientgesteuerte Verschlüsselung und Unterstützung für Zertifikate, die Branchenstandards erfüllen.

Gemeinsam bieten diese Funktionen einen umfassenden Ansatz zur Sicherung von SQL Server-Bereitstellungen unter Linux. Überprüfen und Implementieren von Empfehlungen aus diesen wichtigen Ressourcen:

SQL Server-Überwachung unter Linux

SQL Server unter Linux unterstützt das integrierte SQL Server-Überwachungsfeature, mit dem Sie Ereignisse auf Serverebene und Datenbankebene für die Compliance- und Sicherheitsüberwachung nachverfolgen und protokollieren können.

Erstellen einer Serverüberwachung und einer Serverüberwachungsspezifikation

Bewährte Methoden

Aktualisieren Sie regelmäßig das Linux-Betriebssystem und SQL Server.
Widmen Sie Produktionsserver ausschließlich SQL Server-Arbeitslasten.
Wenden Sie das Prinzip der geringsten Rechte für Konten und Dienste an.
Deaktivieren Sie das SA-Konto als bewährte Methode.

Bewährte Methoden für die Sicherheit unter Windows und Linux finden Sie in den bewährten Sql Server-Sicherheitsmethoden.

Deaktivieren des SA-Kontos als bewährte Methode

Wenn Sie nach der Installation zum ersten Mal mit dem Systemadministratorkonto (sa) eine Verbindung mit Ihrer SQL Server-Instanz herstellen, ist es wichtig, dass Sie diese Schritte ausführen und dann als bewährte Methode für die Sicherheit das sa-Konto sofort deaktivieren.

Erstellen Sie eine neue Anmeldung und machen Sie diese zu einem Mitglied der Serverrolle SysAdmin.
- Je nachdem, ob es sich um eine Container- oder Nicht-Container-Bereitstellung handelt, aktivieren Sie die Windows-Authentifizierung, erstellen eine neue Windows-basierte Anmeldung und fügen sie der SysAdmin-Serverrolle hinzu.
  - Tutorial: Verwenden von adutil zum Konfigurieren der Active Directory-Authentifizierung mit SQL Server für Linux
  - Tutorial: Konfigurieren der Active Directory-Authentifizierung mit SQL Server für Linux-Container
- Andernfalls erstellen Sie eine Anmeldung mit SQL Server-Authentifizierung und fügen sie der Serverrolle SysAdmin hinzu.
Stellen Sie mit der neu erstellten Anmeldung eine Verbindung zur SQL Server-Instanz her.
Deaktivieren Sie das sa-Konto, wie es die bewährte Sicherheitspraxis empfiehlt.

Sicherheitseinschränkungen für SQL Server für Linux

Für SQL Server für Linux gibt es derzeit die folgenden Einschränkungen:

Ab SQL Server 2025 (17.x) unter Linux können Sie benutzerdefinierte Kennwortrichtlinien erzwingen. Weitere Informationen finden Sie unter Festlegen einer benutzerdefinierten Kennwortrichtlinie für SQL-Anmeldungen in SQL Server unter Linux.

In SQL Server 2022 (16.x) unter Linux und früheren Versionen stellen wir eine Standardkennwortrichtlinie bereit:
- MUST_CHANGE ist die einzige Option, die Sie konfigurieren können.
- Wenn die CHECK_POLICY Option aktiviert ist, wird nur die von SQL Server bereitgestellte Standardrichtlinie erzwungen, und die in den Active Directory-Gruppenrichtlinien definierten Windows-Kennwortrichtlinien werden nicht angewendet.
- Der Kennwortablauf ist auf 90 Tage hartcodiert, wenn Sie SQL Server Authentifizierung verwenden. Um dieses Problem zu umgehen, sollten Sie das ALTER LOGIN ändern.
Extensible Key Management (EKM) wird nur über Azure Key Vault (AKV) in SQL Server 2022 (16.x) CU12 unterstützt und ist in früheren Versionen nicht verfügbar. EKM-Anbieter von Drittanbietern werden für SQL Server unter Linux-Betriebssystemen nicht unterstützt.
Der SQL Server-Authentifizierungsmodus kann nicht deaktiviert werden.
SQL Server generiert ein eigenes selbstsigniertes Zertifikat zum Verschlüsseln von Verbindungen. Sie können SQL Server so konfigurieren, dass ein vom Benutzer bereitgestelltes Zertifikat für TLS verwendet wird.
SQL Server auf Linux-Bereitstellungen sind nicht FIPS-kompatibel.

Sichern von SQL Server in Linux-Container-Deployments

Informationen zum Sichern von SQL Server-Containern finden Sie unter Secure SQL Server Linux containers.

Feedback

War diese Seite hilfreich?

Last updated on 2025-11-25