以下是在Ubuntu上进行Jenkins安全配置的关键步骤:
-
系统基础安全
- 更新系统及Jenkins:
sudo apt update && sudo apt upgrade jenkins。 - 创建专用系统用户运行Jenkins,避免使用root:
sudo adduser jenkins-admin,并修改配置文件/etc/default/jenkins中的JENKINS_USER。
- 更新系统及Jenkins:
-
访问控制与认证
- 启用全局安全:
Manage Jenkins→Configure Global Security→ 勾选“Enable security”。 - 选择授权策略:推荐“Role-Based Strategy”或“Project-based Matrix Authorization Strategy”,并创建角色分配权限。
- 配置安全域:支持“Jenkins自有用户库”“LDAP”等,限制登录方式。
- 启用CSRF保护:勾选“Enable proxy compatibility”。
- 启用全局安全:
-
网络安全配置
- 防火墙:使用
ufw限制Jenkins端口(默认8080)仅允许可信IP访问:
sudo ufw allow from <可信IP> to any port 8080。 - HTTPS加密:配置SSL证书(自签名或CA颁发),通过Nginx反向代理启用HTTPS。
- 防火墙:使用
-
插件与数据安全
- 仅安装必要插件,定期更新插件及Jenkins核心:
Manage Jenkins→Manage Plugins。 - 使用凭据绑定插件加密存储敏感信息(如SSH密钥、密码)。
- 定期备份Jenkins配置和数据:
/var/lib/jenkins目录。
- 仅安装必要插件,定期更新插件及Jenkins核心:
-
日志与监控
- 启用审计日志,记录用户操作:
Manage Jenkins→System Log→ 添加日志记录器。 - 集成监控工具(如Prometheus)监控Jenkins运行状态。
- 启用审计日志,记录用户操作:
参考来源: