SQL Server中使用登录触发器限制用户的访问地址

驰网飞飞

目前有个需求，需要限制个别账号（或者其他权限较高的账号）的登录IP，降低访问的风险。

假设这里的需求是：限制 test账号，只能通过本机和几个固定的个IP登录MSSQL

1、使用sa账号登录

2、创建test登录账号

1. CREATE LOGIN test WITH PASSWORD = 'Abcd@1234'
   
2. GO

复制代码

3、创建登录触发器

1. drop TRIGGER [tr_limit_ip] ON ALL SERVER ;
   
2. 
   
3. CREATE TRIGGER [tr_limit_ip]
   
4. ON ALL SERVER WITH EXECUTE AS 'sa'
   
5. FOR LOGON
   
6. AS
   
7. BEGIN
   
8. 
   
9. 
   
10. IF ORIGINAL_LOGIN()= 'test'
    
11. AND
    
12. (SELECT EVENTDATA().value('(/EVENT_INSTANCE/ClientHost)[1]', 'NVARCHAR(15)'))
    
13. NOT IN('<local machine>','192.168.31.181','192.168.31.17')
    
14.      ROLLBACK;
    
15. END;

复制代码

如果test账号在其他IP尝试登录mssql，则会出现如下报错：

SQL Server中使用登录触发器限制用户的访问地址

在未做限制前，test登录后，可以用sa账号查看到如下登录明细：

1. SELECT
   
2. a.[session_id],a.[login_time],a.[host_name],
   
3. a.[original_login_name],b.[client_net_address]
   
4. FROM MASTER.sys.dm_exec_sessions a
   
5. INNER JOIN MASTER.sys.dm_exec_connections b
   
6. ON a.session_id=b.session_id;

复制代码

SQL Server中使用登录触发器限制用户的访问地址

感谢您的阅读，服务器大本营-技术文章内容集合站，助您成为更专业的服务器管理员！