SQL Server在CentOS上的权限管理指南

一、权限管理前置准备

在CentOS上进行SQL Server权限管理前，需完成以下基础配置：

1. 安装SQL Server：使用Microsoft官方文档完成SQL Server安装（如CentOS 7/8上的mssql-server包安装），并启动服务（sudo systemctl start mssql-server）。
2. 配置系统权限：确保SQL Server服务账户（默认mssql）对数据目录（/var/opt/mssql/data）、日志目录（/var/opt/mssql/log）有读写权限（sudo chown -R mssql:mssql /var/opt/mssql；sudo chmod -R 750 /var/opt/mssql/data）。
3. 开放防火墙端口：允许SQL Server默认端口（1433/TCP）通过防火墙（sudo firewall-cmd --permanent --zone=public --add-port=1433/tcp；sudo firewall-cmd --reload）。

二、权限管理核心步骤

1. 连接到SQL Server实例

使用工具（如SQL Server Management Studio (SSMS)、sqlcmd命令行）连接到SQL Server实例：

• SSMS：输入实例名称（如localhost），选择身份验证方式（SQL Server身份验证需输入sa账号密码；Windows身份验证需加入域）。
• sqlcmd：终端执行sqlcmd -S localhost -U sa -P your_password进入命令行。

2. 创建登录账户（服务器级权限）

登录账户用于连接到SQL Server实例，分为SQL Server身份验证（用户名/密码）和Windows身份验证（域账户）：

-- 创建SQL Server身份验证登录账户（示例：用户名`test_user`，密码`StrongPass123`）
CREATE LOGIN [test_user] WITH PASSWORD = 'StrongPass123';

-- 创建Windows身份验证登录账户（示例：域账户`DOMAIN\user`）
CREATE LOGIN [DOMAIN\user] FROM WINDOWS;

注意：SQL Server身份验证需启用混合模式（安装时勾选“混合模式身份验证”，或后续通过ALTER SERVER CONFIGURATION SET AUTHENTICATION MODE = MIXED;修改）。

3. 创建数据库用户（数据库级权限）

登录账户需关联到具体数据库才能访问数据，使用CREATE USER命令：

-- 切换到目标数据库（如`TestDB`）
USE [TestDB];

-- 为登录账户创建数据库用户（用户名与登录账户一致）
CREATE USER [test_user] FOR LOGIN [test_user];

若为Windows身份验证，命令类似（CREATE USER [DOMAIN\user] FOR LOGIN [DOMAIN\user];）。

4. 分配内置数据库角色（快速授权）

SQL Server提供多种内置数据库角色，可快速分配常用权限：

-- 分配只读权限（SELECT）
USE [TestDB];
EXEC sp_addrolemember 'db_datareader', 'test_user';

-- 分配读写权限（SELECT、INSERT、UPDATE、DELETE）
USE [TestDB];
EXEC sp_addrolemember 'db_datawriter', 'test_user';

-- 分配db_owner权限（完全控制，慎用）
USE [TestDB];
EXEC sp_addrolemember 'db_owner', 'test_user';

注意：db_owner权限过高，仅授予管理员；常规用户建议使用db_datareader/db_datawriter。

5. 自定义角色与细粒度权限（精准控制）

若内置角色无法满足需求，可创建自定义角色并分配特定权限：

-- 1. 创建自定义角色（如`custom_report_role`）
CREATE ROLE [custom_report_role];

-- 2. 分配具体权限（如`SELECT`权限给`Sales`表的`OrderID`、`Amount`列）
USE [TestDB];
GRANT SELECT ON [dbo].[Sales] ([OrderID], [Amount]) TO [custom_report_role];

-- 3. 将用户添加到自定义角色
USE [TestDB];
EXEC sp_addrolemember 'custom_report_role', 'test_user';

优势：避免过度授权，符合“最小权限原则”。

6. 验证权限有效性

使用目标用户连接SQL Server，执行测试查询验证权限：

-- 使用sqlcmd以`test_user`身份连接
sqlcmd -S localhost -U test_user -P StrongPass123

-- 测试查询（若`db_datareader`权限生效，可查询`Sales`表）
SELECT * FROM [dbo].[Sales];

若查询成功，说明权限配置正确；若报错（如“SELECT权限被拒绝”），需检查角色/权限分配。

三、权限管理最佳实践

1. 最小权限原则：仅授予用户完成任务所需的最小权限（如报表用户无需INSERT/UPDATE权限）。
2. 定期审计权限：通过sys.database_principals、sys.database_permissions视图检查用户权限（如SELECT * FROM sys.database_principals WHERE type_desc = 'SQL_USER';）。
3. 禁用默认账户：禁用sa账号（ALTER LOGIN sa DISABLE;）或设置强密码（勾选“强制实施密码策略”“强制密码过期”）。
4. 加密连接：启用SSL加密（ALTER SERVER CONFIGURATION SET FORCE_ENCRYPTION = ON;），保护数据传输安全。

通过以上步骤，可在CentOS上实现SQL Server的精细化权限管理，保障数据库安全。