在过去的一个月里,我注意到我的事件查看器在sql server上进行了很多失败审计.看起来像是来自中国ip的暴力攻击,试图登录我已禁用的sa帐户.我已经在我的网络防火墙上阻止了它,但一周后我从同样来自中国的ip也遭到同样的攻击.到目前为止,我已经阻止了6个ips.有什么我可以做的,以防止这种攻击吗?我只是阻止ips?
这个服务器确实需要面向互联网,因为我有外部开发人员访问它.我将研究防火墙设置.我正在使用思科asa.
解决方法
除非你有充分的理由,否则不要将sql服务器放在网络的边缘.
我发现你认为你需要在互联网上使用sql,因为开发人员需要访问权限.这不是让sql可用于互联网的好理由.您可以使用许多选项来允许开发人员访问服务器,而无需访问sql Server.他们可以SSH到服务器并通过命令行运行sql命令.他们可以使用VPN连接到服务器,并运行任何应用程序.您甚至可以锁定防火墙,只允许开发人员访问.您可以使用更安全的许多选项.
只是为了记录,我最喜欢的是使用密钥进行身份验证的SSH访问.这允许您提供更多安全选项,并且您的开发人员可以在必要时使用SSH隧道连接到服务器,而不是命令行访问.您可以使用chroot,jail或只是普通的旧权限来保护服务器免受开发人员的攻击