Ubuntu上SQL Server权限管理设置指南

一、前置准备：安装与配置SQL Server

在设置权限前，需完成SQL Server在Ubuntu上的安装与基础配置：

1. 导入Microsoft GPG密钥：

   curl https://packages.microsoft.com/keys/microsoft.asc | sudo apt-key add -
   

2. 注册SQL Server存储库（以Ubuntu 20.04为例）：

   sudo add-apt-repository "deb [arch=amd64] https://packages.microsoft.com/ubuntu/20.04/mssql-server-2022 main"
   

3. 安装SQL Server：

   sudo apt-get update && sudo apt-get install -y mssql-server
   

4. 初始化配置：
   运行sudo /opt/mssql/bin/mssql-conf setup，按提示设置SA账户密码（系统管理员账户，权限最高）及SQL Server版本（如2022）。
5. 启动服务并验证状态：

   sudo systemctl start mssql-server && sudo systemctl status mssql-server
   

以上步骤完成后，SQL Server将在Ubuntu上运行，为后续权限设置奠定基础。

二、权限管理核心操作：从登录到数据库访问

权限管理需遵循“服务器层→数据库层→对象层”的分层逻辑，确保权限粒度可控。

1. 创建服务器登录名（SQL Server身份验证）

登录名是用户访问SQL Server实例的身份凭证，适用于跨数据库访问。
使用sqlcmd工具连接SQL Server（需替换YourPassword为强密码）：

sqlcmd -S localhost -U SA -P 'YourPassword'

在sqlcmd中执行以下命令创建登录名：

CREATE LOGIN [YourLoginName] WITH PASSWORD = 'YourStrongPassword';
GO

说明：

• YourLoginName：自定义登录名（如dev_user）；
• 强制使用复杂密码（包含大小写字母、数字、特殊字符，长度≥8位）。

2. 将登录名映射到数据库并创建用户

登录名需关联到具体数据库才能访问数据，需在目标数据库中创建数据库用户。

USE [YourDatabaseName]; -- 切换到目标数据库（如`SalesDB`）
GO
CREATE USER [YourUserName] FOR LOGIN [YourLoginName];
GO

说明：

• YourUserName：数据库内的用户标识（通常与登录名一致）；
• 此步骤将服务器登录名与数据库用户绑定，用户需通过登录名认证后访问数据库。

3. 分配数据库角色（预定义权限集合）

SQL Server提供固定数据库角色，可快速分配常用权限，避免逐个授权。常见角色及权限：

分配角色命令：

ALTER ROLE [db_datareader] ADD MEMBER [YourUserName];
ALTER ROLE [db_datawriter] ADD MEMBER [YourUserName];
GO

说明：

• 通过ALTER ROLE将用户添加到角色中，替代旧版的sp_addrolemember（部分新版本已弃用）。

4. 授予对象级权限（精细化控制）

若需更细粒度的权限（如限制用户仅能访问某张表的特定操作），可使用GRANT语句。
示例：授予用户对Orders表的SELECT（查询）和INSERT（插入）权限：

USE [YourDatabaseName];
GO
GRANT SELECT, INSERT ON [dbo].[Orders] TO [YourUserName];
GO

说明：

• [dbo].[Orders]：目标对象（dbo为架构名，Orders为表名）；
• 支持的权限包括SELECT、INSERT、UPDATE、DELETE、EXECUTE（存储过程）等。

三、权限管理最佳实践

1. 最小权限原则：仅授予用户完成任务所需的最低权限（如报表用户仅需db_datareader，无需db_owner）。
2. 定期审查权限：每月检查一次用户权限，移除不再需要的角色或权限（可通过sys.database_principals视图查看用户权限）。
3. 使用自定义角色：对于复杂场景，可创建自定义角色并分配权限，再添加用户（如CREATE ROLE [OrderManager]，然后分配SELECT、INSERT权限）。
4. 启用密码策略：增强登录安全性，执行以下命令开启密码复杂度检查（需重启SQL Server服务生效）：

   EXEC sp_configure 'password policy', 1;
   RECONFIGURE;
   

5. 限制远程访问：仅允许可信IP访问SQL Server的1433端口（通过Ubuntu防火墙ufw配置）：

   sudo ufw allow from Trusted_IP to any port 1433/tcp
   sudo ufw reload
   

以上实践可有效降低权限滥用风险，提升SQL Server安全性。

四、验证权限设置

最后，需通过实际登录验证权限是否生效：

sqlcmd -S localhost -U YourLoginName -P 'YourStrongPassword' -d YourDatabaseName

连接后，尝试执行以下操作：

• 查询数据：SELECT * FROM Orders;（应成功，若授予了SELECT权限）；
• 插入数据：INSERT INTO Orders (OrderID, CustomerName) VALUES (1, 'John');（应成功，若授予了INSERT权限）；
• 删除数据：DELETE FROM Orders;（应失败，若未授予DELETE权限）。

通过验证可确保权限设置符合预期。