【发布时间】:2011-03-31 09:05:12
【问题描述】:
我应该采取哪些建议来防止任何人入侵或获取 sql server 数据库文件(MDF 文件)?
注意:我使用 sql server 2005
【问题讨论】:
-
不要将机器连接到网络
标签: sql sql-server-2005 security
【发布时间】:2011-03-31 09:05:12
【问题描述】:
一些简单的建议:
- 不要将您的数据库服务器的访问权限暴露给 Internet。它应该位于防火墙后面,只允许 Web 服务器通过特定端口(不是默认端口)访问它。
- 不允许远程桌面或任何其他类型的来自外部连接的类似访问。对于内部连接,请确保密码遵循某种类型的策略。例如,需要数字、扩展字符等。
- 将数据库文件保存在 sql server 的普通数据目录中(文件安全性已经为您设置好了)。
- 使用透明数据库加密:http://msdn.microsoft.com/en-au/magazine/cc163771.aspx#S5 和 How to protect the sql server 2005 MDF file
- 确保文件共享已关闭。
- 确保唯一可以访问该服务器的人是负责该服务器的人。
- 阅读 sql 注入以防止其他访问机制。
- 对数据库用户帐户使用 Active Directory 安全性。
- 对数据库连接使用 SSPI,这样您的 web.config 中就不会存储用户名/密码
- 确保您的 Web 和数据库服务器之间的网络连接通过 kerberos 加密。
【讨论】:
与保护服务器上的任何其他文件的方式相同。
【讨论】:
我会使用防火墙并阻止所有不需要的端口。
【讨论】:
-
假设机器仍然可以从互联网访问并且端口号没有改变,那么你仍然会看到每天对 sa 帐户的数百次破解尝试。
-
是的,你是对的。我只是不喜欢更改端口,我认为这是一个 PITA .. 它可能会导致其他问题。对于初学者,我宁愿阻止 SQL SERVER 以外的所有内容。