保护新的 Ubuntu 服务器 [关闭]

Question

JoshBerke

Asked: 2009-05-01 20:06:21 +0800 CST2009-05-01 20:06:21 +0800 CST 2009-05-01 20:06:21 +0800 CST

什么被认为对 sql server 安全性更安全

在 SQL Server 2005 / 2008 上设置安全性时。更安全的选项是什么？

如果服务器将被许多桌面客户端（厚客户端）访问，或者少数 Web 服务器将访问它，这是否重要？

编辑

为什么它更安全？使用 Windows 身份验证确实意味着我们可以避免将连接字符串放在配置文件中，这是一个优点。

Windows 身份验证还允许我们根据他们的 NT 凭据控制谁可以访问，我认为当您的客户端直接连接到服务器时这是理想的选择。

然而，我一直想知道的一件事是，当所有客户端都通过诸如 Web 服务之类的代理时，NT 身份验证有多大用处。

K. Brian Kelley · Answer 1 · 2009-05-01T20:32:06+08:00

Windows 身份验证被认为更安全。原因如下：

您可以使用 Kerberos 身份验证。Kerberos 协议具有防止重放攻击的时间戳。它还允许客户端使用受信任的第 3 方验证服务器的身份（在 Active Directory 的实现中，这是 DC）。
它允许单一安全源：Active Directory。因此，一旦您关闭 Active Directory 中的帐户，它就会在任何地方都被禁用。
在 SQL Server 2005 之前的 SQL Server 版本中，登录数据包不会自动加密。密码在网络上传递的方式很容易被解密，因为我们正在讨论高位和低位翻转和 XOR 操作。
事实上，您不必将密码放在连接字符串中，但还有其他方法可以解决这个问题。例如，加密用户名/密码并将其存储在注册表中，然后在运行时构建连接字符串。
如果打开了此类审核设置（并且应该打开），则将在安全事件日志中跟踪对 SQL Server 的登录以及其他 Windows 登录。这意味着如果您的服务器有日志解析/聚合软件，则不必解析出应用程序事件日志或 SQL Server 日志文件。

关于您从 Web 服务获得单个帐户的位置，您仍然拥有我上面列出的所有相同优势。

CPU_BUSY · Answer 2 · 2009-05-01T20:13:15+08:00

CPU_BUSY

Windows 身份验证更安全主要是因为用户名和密码未在连接字符串中传递。数据源=myServerAddress；初始目录=myDataBase；集成安全=SSPI；

相对于 Data Source=myServerAddress;Initial Catalog=myDataBase;User Id=myUsername;Password=myPassword;

Brian Boatright · Answer 3 · 2009-05-01T20:13:19+08:00

Brian Boatright

更安全的是 Windows 身份验证模式仅假设您通常具有良好的网络安全性。

您能否详细介绍一下您当前的设置和需求？

MarlonRibunal · Answer 4 · 2009-05-01T20:55:38+08:00

MarlonRibunal

基本上，Windows 身份验证是推荐的身份验证。从理论上讲，它是安全的，也就是说，如果您已经具备良好的网络安全性。