为什么SQL Server应该应该’t在Linux上以root身份运行

所以不止一个人联系我了 last post 并说他们没有’T在Linux上运行作为root用户的SQL Server有问题。

我:

虽然增强功能已更改Windows安装以获取应用程序以使用唯一用户运行,但我甚至在Windows上返回MSSQL OS用户,因为我对所有数据库平台的所有数据库平台一起使用类似的安全实践作为多平台DBA时,我创建了MSSQL OS用户。 Â如上所述 - Â是的,它引入了复杂性,但它是有原因的:用户应该仅限于所需的最少权限。授予任何应用程序或数据库“God”主机上的权力是类似于数据库中的每个用户的DBA,但在主机级别.-作为安全性的,它同样重要的是数据库内的DBA,它应该在它所居中的主机之外对我们很重要在。

安全性很重要 随着安全漏洞的增加和云的引入,已经变得更加复杂。“这是最简单的方法之一,以确保主机上的所有应用程序所有者只授予他们所需的权限。应用用户应该仅利用sudo,stick位,iptables,suid,sgid和正确的组创建/分配如果需要。

SQL Server.作为root

例如,让’说SQL Server由Linux机器上的root拥有,并为此系统的标准过程通过它以来仍然可以通过Excel电子表格加载数据’SO操作系统迁移到Linux.ÂRacker已发现此问题并构建恶意软件以附加到Excel电子表格,并且由于文件由与SQL Server拥有的文件,恶意软件能够利用该漏洞,运行脚本主持root。如果SQL Server已作为OS用户MSSQL安装,则具有有限的权限和适当的组联盟,可以隔离这种类型的攻击,并将影响减少。

Linux.管理员将始终如一地要求您证明为什么您需要以root用户运行任何内容。无论如何’■要更新文件,创建文件,修改应用程序甚至执行系统任务,但通过具有正确的用户/组配置将:

  1. 有能力通过已切换到超级用户的审计。
  2. 更有可能通过执行灾难性命令来消除人类错误。
  3. 简化标识应用程序堆栈的一部分的识别
  4. 提供第二层安全性,可以保存公司成为下一个安全漏洞。
  5. 限制应用程序在主机上有权危险的数据量。

做对,不要’t Do It Twice

创建一个正确的 MSSQL. 在Linux上的OS用户并创建一个 DBASQL.install. Group.Â由于Microsoft在Linux上实现了其SQL Server产品,功能将增加并增强。微软将接受成熟的实践,所以在游戏前方开始,从头开始,从一开始就开始正确的安全性。

 

 

dbakevlar.

http://about.me/dbakevlar

3 thoughts on “为什么SQL Server应该应该’t在Linux上以root身份运行

  • 2018年1月23日上午9:15
    永久链接

    我想知道有多少人认为这一般可以像root那样运行SQL Server,以及多少想到它是可以的,因为它在容器中?似乎是这种误解,码头容器内部的根源比主机上的root更安全。一世’已经看到了一些让我思考的Dockerfiles,“Really?” 🙂

    干杯

    蒂姆…

  • 2018年1月23日在上午9:21
    永久链接

    所以和你在这一个…:)

  • Pingback: 大学教师’在Linux上作为root服务运行服务– Curated SQL

评论被关闭。