适用于:
SQL Server - Linux
Linux 上的 SQL Server 当前具有以下限制:
- 提供了标准密码策略。
MUST_CHANGE是可以配置的唯一选项。CHECK_POLICY启用此选项后,它仅强制实施 SQL Server 提供的默认策略,并且不应用 Active Directory 组策略中定义的 Windows 密码策略。 - SQL Server 2022 (16.x) CU 11 及更低版本中不支持可扩展密钥管理。 可扩展密钥管理仅支持通过 Azure Key Vault (AKV)。
- 无法禁用 SQL Server 身份验证模式。
- 如果使用 SQL Server 身份验证,则密码过期时间将硬编码为 90 天。
- SQL Server 2022 (16.x) CU 11 及更低版本中不支持使用存储在 Azure Key Vault 中的密钥。
- SQL Server 生成自己的自签名证书,用于加密连接。 可以将 SQL Server 配置为使用用户提供的用于 TLS 的证书。
- Linux 上的 SQL Server 部署不符合 FIPS。
注意
如果不打算将 SQL Server 容器连接到 Windows Active Directory,则仅使用 SQL Server 身份验证时,密码过期时间将硬编码为 90 天。 若要解决此问题,请考虑更改 CHECK_EXPIRATION 策略。
有关 SQL Server 中所提供的安全功能的详细信息,请参阅 SQL Server 数据库引擎和 Azure SQL 数据库的安全中心。
采取最佳做法:禁用 SA 帐户
在安装后首次使用系统管理员 (sa) 帐户连接到 SQL Server 实例时,请务必执行这些步骤,然后立即禁用 sa 帐户,这是旨在确保安全性的一项最佳做法。
创建新的登录帐户,并将其设为 sysadmin 服务器角色的成员。
根据你使用的是容器还是非容器部署,启用 Windows 身份验证,并创建一个新的基于 Windows 的登录帐户,并将其添加到 sysadmin 服务器角色中。
否则,请使用 SQL Server 身份验证创建登录帐户,并将其添加到 sysadmin 服务器角色。
使用创建的新登录帐户连接 SQL Server 实例。
按照安全最佳做法的建议,禁用
sa帐户。