Jenkins在Linux怎樣保障安全運行

1. 系統基礎安全加固

• 保持系統更新：定期執行sudo yum update -y（CentOS）或sudo apt update && sudo apt upgrade -y（Ubuntu）更新系統內核及依賴包，修復已知安全漏洞。
• 強化用戶與認證：禁用默認超級用戶（如adm、lp），創建專用Jenkins用戶（如jenkins-admin），設置強密碼（包含大小寫字母、數字、特殊字符，長度≥10位）；配置/etc/profile中的TMOUT=300（300秒無操作自動注銷root），防止未授權會話停留。

2. Jenkins自身配置安全

• 啟用安全機制：進入“Manage Jenkins”→“Configure Global Security”，勾選“Enable security”，避免匿名訪問；建議使用“Logged-in users can do anything”臨時過渡，后續配置細粒度權限。
• 修改默認端口：編輯/etc/sysconfig/jenkins（CentOS）或/etc/default/jenkins（Ubuntu），修改JENKINS_PORT（如改為8081），降低端口掃描攻擊風險；同步更新防火墻規則允許新端口。
• 禁用不必要的組件：關閉Jenkins中未使用的插件（如遠程訪問插件）、功能（如匿名構建），減少攻擊面。

3. 權限與訪問控制

• 基于角色的訪問控制（RBAC）：安裝“Role-based Authorization Strategy”插件（“Manage Jenkins”→“Manage Plugins”→“Available”搜索安裝），配置“Manage and Assign Roles”：
  • 全局角色：定義管理員（擁有所有權限）、開發者（僅能觸發構建、查看結果）、訪客（僅能查看項目）。
  • 項目角色：按項目分配權限（如project-*組可訪問特定項目），實現最小權限原則。
• 限制SSH訪問：編輯/etc/ssh/sshd_config，添加AllowUsers jenkins-admin，僅允許指定用戶通過SSH登錄；重啟SSH服務（sudo systemctl restart sshd）。

4. 傳輸與數據安全

• 啟用HTTPS加密：申請SSL證書（如Let’s Encrypt免費證書），配置Jenkins監聽HTTPS端口（如443）；或通過“Manage Jenkins”→“Configure Global Security”啟用“Force HTTPS”，強制所有流量加密。
• 保護敏感數據：使用“Credentials Binding”插件管理密碼、API密鑰等敏感信息，避免硬編碼在構建腳本中；設置Jenkins工作目錄（/var/lib/jenkins）權限為root:jenkins-admin（sudo chown -R root:jenkins-admin /var/lib/jenkins），防止未授權用戶讀取。

5. 監控與維護

• 定期備份數據：創建備份目錄（如/backups/jenkins），使用tar命令或插件（如“ThinBackup”）定期備份Jenkins配置（config.xml）、工作空間、日志等；通過cron設置每日凌晨2點自動備份（示例：0 2 * * * tar -czvf /backups/jenkins_$(date +\%F).tar.gz /var/lib/jenkins）。
• 監控與日志分析：啟用Jenkins日志記錄（“Manage Jenkins”→“Configure System”→“Logging”），收集構建日志、訪問日志；使用“Monitoring”插件（如Prometheus+Granafa）監控Jenkins資源使用（CPU、內存）、構建成功率，及時發現異常。

6. 插件與依賴安全

• 管理插件安全：定期檢查“Manage Jenkins”→“Manage Plugins”中的插件更新，移除未使用的插件；優先安裝官方推薦或高評分插件，避免安裝來源不明的插件（可能攜帶惡意代碼）。
• 強化依賴安全：確保Jenkins運行的Java環境（如OpenJDK 11+）為最新穩定版，修復Java層面的安全漏洞（如sudo yum update java-11-openjdk-devel）。