CentOS环境下SQL Server权限管理实践

CentOS环境下 SQL Server 权限管理实践

一 身份与授权模型

• 在 SQL Server 中，权限体系分为两层：服务器级的 登录名 Login（对应实例级访问）与数据库级的 用户 User（映射到具体数据库），通过角色进行批量授权，遵循 最小权限原则。常用内置数据库角色包括：db_datareader（只读）、db_datawriter（读写）、db_owner（库级完全控制）。对象级权限可使用 GRANT/REVOKE 精确授予（如 SELECT、INSERT、UPDATE、DELETE）。在 CentOS 上，可使用 sqlcmd 连接本地或远程实例执行这些授权操作。

二 环境与安全基线

• 网络与防火墙：仅开放必要端口，默认 1433/TCP；在 firewalld 中执行：sudo firewall-cmd --zone public --add-port 1433/tcp --permanent && sudo firewall-cmd --reload。
• 传输加密：启用 TLS 加密，确保客户端与服务端之间的 TDS/TLS 安全通信。
• 数据静态加密：对数据库启用 TDE 保护数据文件；对敏感列使用 Always Encrypted 实现应用侧加密与密钥隔离。
• 系统与实例加固：保持 SQL Server 与 CentOS 的及时更新与补丁；仅启用必要服务与端口；对高权限账户（如 sa）实施强口令策略并限制使用场景。

三 权限分配与回收实操

• 场景A 只读应用账号
  • 创建登录名与数据库用户，加入 db_datareader；如需写入特定表，再对目标表授予 INSERT/UPDATE/DELETE。
  • 示例：

    -- 服务器级登录
    CREATE LOGIN app_read WITH PASSWORD = 'StrongP@ssw0rd!';
    
    -- 在目标数据库创建用户并映射
    USE SalesDB;
    CREATE USER app_read_user FOR LOGIN app_read;
    
    -- 只读权限
    EXEC sp_addrolemember 'db_datareader', 'app_read_user';
    
    -- 对特定表授予写入（按需）
    GRANT INSERT, UPDATE, DELETE ON dbo.Orders TO app_read_user;
    

• 场景B 应用写入账号（不可改结构）
  • 使用 db_datawriter 满足日常写入，避免授予 db_owner 或 DDL 权限（如 CREATE TABLE、ALTER）。
  • 示例：

    USE SalesDB;
    CREATE USER app_write_user FOR LOGIN app_write;
    EXEC sp_addrolemember 'db_datawriter', 'app_write_user';
    

• 场景C 管理员与 DBA
  • 创建专用管理员登录，仅授予 sysadmin 给极少数受控账户；日常运维尽量使用具备所需权限的自定义角色替代共享高权限账号。
  • 示例：

    CREATE LOGIN dba_admin WITH PASSWORD = 'VeryStr0ng!';
    EXEC sp_addsrvrolemember 'dba_admin', 'sysadmin';
    

• 撤销与验证
  • 撤销对象权限：REVOKE DELETE ON dbo.Orders FROM app_read_user;
  • 撤销角色成员：EXEC sp_droprolemember 'db_datareader', 'app_read_user';
  • 查看当前用户权限：SELECT * FROM fn_my_permissions(NULL, 'USER');
  • 查看某用户在库内的权限明细：SELECT USER_NAME(grantee_principal_id) AS UserName, permission_name, class_desc, major_id FROM sys.database_permissions WHERE grantee_principal_id = USER_ID('app_read_user');
  • 提示：避免使用 sa 作为应用连接账号；优先通过角色与对象级授权实现“最小权限”。

四 审计与合规

• 启用并定期检查 SQL Server 错误日志 与系统日志，关注异常登录、权限变更与失败登录；结合 审计 能力记录关键操作。
• 建立 权限基线 与 定期复核 机制：列出所有登录、数据库用户、角色成员与对象级授权，评估是否仍符合业务需要，及时回收不必要权限。
• 将权限变更纳入变更管理流程，保留审计轨迹，配合监控告警提升可观测性与响应速度。

五 常见排错与运维要点

• 连接与端口：确认 1433/TCP 已在 firewalld 放行；远程连接字符串正确；必要时在客户端启用 TLS 加密。
• 工具与连接测试：在 CentOS 上安装 mssql-tools 并使用 sqlcmd 验证账号权限与连通性：sqlcmd -S <host> -U <login> -P <pwd> -d <db> -Q "SELECT 1"。
• 文件系统权限：确保 SQL Server 服务账户（mssql） 对数据目录（如 /var/opt/mssql/data）具备正确所有权与权限，例如：chown mssql:mssql /var/opt/mssql/data; chmod 770 /var/opt/mssql/data，避免因权限不足导致数据库启动或写入失败。
• 变更风险控制：生产环境变更前在测试环境验证；对高权限操作（如授予 sysadmin、启用 TDE）采用变更单与回滚预案。