Consideraciones de seguridad para SQL Server en Linux

Se aplica a:SQL Server en Linux

La protección de SQL Server en Linux es un proceso continuo porque Linux es un sistema operativo heterogéneo y en constante evolución. Nuestro objetivo es ayudar a nuestros clientes a mejorar la seguridad de forma incremental, basándose en lo que ya tienen y refinan con el tiempo. Esta página sirve como índice de procedimientos clave y recursos para proteger SQL Server en Linux.

Comenzar con un sistema Linux seguro

En este artículo se da por supuesto que ha implementado SQL Server en un sistema Linux fortalecido y protegido. Las medidas de seguridad varían según la distribución de Linux. Para obtener más información, consulte Introducción a SQL Server en SELinux.

Las prácticas de seguridad varían en función de la distribución de Linux que use. Para obtener instrucciones detalladas, póngase en contacto con el proveedor de distribución y revise sus procedimientos recomendados. También puede consultar documentación como:

Valide siempre la plataforma y la configuración elegidas en un entorno de prueba controlado antes de realizar la implementación en producción.

Aplicación de instrucciones de seguridad de SQL Server

SQL Server en Linux ofrece un marco de seguridad sólido que combina varias capas de protección.

Cree cuentas y usuarios de base de datos bajo el principio de privilegios mínimos.
Use características avanzadas, como la seguridad de nivel de fila y el enmascaramiento dinámico de datos para el control de acceso granular.
La seguridad del sistema de archivos se aplica a través de permisos y propiedad estrictos en /var/opt/mssql, lo que garantiza que solo el usuario y el mssql grupo tengan acceso adecuado.
Para la integración empresarial, la autenticación de Active Directory habilita el inicio de sesión único (SSO) basado en Kerberos, las directivas de contraseña centralizadas y la administración de acceso basada en grupos.
Las conexiones cifradas protegen los datos en tránsito mediante TLS, con opciones para el cifrado iniciado por el servidor o el cliente y compatibilidad con certificados que cumplen los estándares del sector.

Juntas, estas funcionalidades ofrecen un enfoque completo para proteger las implementaciones de SQL Server en Linux. Revise e implemente recomendaciones de estos recursos clave:

Auditoría de SQL Server en Linux

SQL Server en Linux admite la característica de auditoría de SQL Server integrada, lo que le permite realizar un seguimiento y registrar eventos de nivel de servidor y de base de datos para la supervisión del cumplimiento y la seguridad.

Crear una auditoría de servidor y una especificación de auditoría de servidor

Procedimientos recomendados comunes

Actualice periódicamente el sistema operativo Linux y SQL Server.
Dedicar servidores de producción exclusivamente a cargas de trabajo de SQL Server.
Aplique el principio de privilegios mínimos para las cuentas y los servicios.
Deshabilite la cuenta SA como mejor práctica.

Para conocer los procedimientos recomendados de seguridad comunes en Windows y Linux, consulte Procedimientos recomendados de seguridad de SQL Server.

Deshabilitar la cuenta SA como mejor práctica

Al conectarse a la instancia de SQL Server mediante la cuenta del administrador del sistema (sa) por primera vez después de la instalación, es importante que siga estos pasos y luego deshabilite inmediatamente la cuenta de sa como procedimiento recomendado de seguridad.

Cree un nuevo inicio de sesión, y hágalo miembro del rol de servidor sysadmin.
- En función de si tiene un contenedor o una implementación que no es de contenedor, habilite la autenticación de Windows y cree un nuevo inicio de sesión basado en Windows y agréguelo al rol de servidor sysadmin .
  - Tutorial: Uso de adutil para configurar la autenticación de Active Directory con SQL Server en Linux
  - Tutorial: Configuración de la autenticación de Active Directory con SQL Server en contenedores de Linux
- De lo contrario, cree un inicio de sesión mediante la autenticación de SQL Server y agréguelo al rol de servidor sysadmin .
Conectar a la instancia de SQL Server mediante el nuevo inicio de sesión que creó.
Deshabilite la cuenta sa, como se recomienda para la mejor práctica de seguridad.

Limitaciones de seguridad para SQL Server en Linux

Actualmente, SQL Server en Linux tiene las siguientes limitaciones:

A partir de SQL Server 2025 (17.x) en Linux, puede aplicar la directiva de contraseña personalizada. Para más información, consulte la política de contraseña personalizada para inicios de sesión de SQL en SQL Server en Linux.

En SQL Server 2022 (16.x) en Linux y versiones anteriores, se proporciona una directiva de contraseña estándar:
- MUST_CHANGE es la única opción que puede configurar.
- Con la CHECK_POLICY opción habilitada, solo se aplica la directiva predeterminada proporcionada por SQL Server y no aplica las directivas de contraseña de Windows definidas en las directivas de grupo de Active Directory.
- La expiración de la contraseña está codificada de forma rígida a 90 días si usa la autenticación SQL Server. Para solucionar este problema, considere la posibilidad de cambiar ALTER LOGIN.
La administración extensible de claves (EKM) solo se admite a través de Azure Key Vault (AKV) en SQL Server 2022 (16.x) CU12 y no está disponible en versiones anteriores. Los proveedores de EKM de terceros no son compatibles con SQL Server en sistemas operativos Linux.
No se puede deshabilitar el modo de autenticación de SQL Server.
SQL Server genera su propio certificado autofirmado para cifrar las conexiones. Puede configurar SQL Server para que use un certificado proporcionado por el usuario para TLS.
Las implementaciones de SQL Server en Linux no son compatibles con FIPS.

Protección de SQL Server en implementaciones de contenedores de Linux

Para obtener información sobre cómo proteger contenedores de SQL Server, consulte Protección de contenedores de SQL Server Linux.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-11-25