Debian 上部署 Jenkins 的安全策略清单
一 系统与基础加固
- 保持系统与软件更新:定期执行 apt update && apt upgrade,及时修补 Jenkins 与插件漏洞。
- Java 运行时:安装并固定 OpenJDK 11+,避免使用不受支持的 JDK 版本。
- 防火墙与端口:仅开放必要端口(如 8080/443/22),示例:sudo ufw allow 8080/tcp;生产环境建议前置 反向代理/负载均衡 统一暴露 443。
- SSH 安全:禁用 root 远程登录(PermitRootLogin no)、禁用空密码(PermitEmptyPasswords no)、强制 SSH 密钥 登录。
- 最小权限:日常运维使用 sudo,避免以 root 直接运行服务或构建任务。
二 身份认证与授权
- 启用全局安全:在 Manage Jenkins → Configure Global Security 勾选 Enable security。
- 认证方式:优先使用 LDAP/OAuth/SAML 等集中认证;内网小规模可用内置用户库。
- 授权模型:采用 RBAC(Role-Based Strategy) 或 Matrix Authorization,遵循最小权限原则,细化到任务/视图/节点。
- 会话与 CSRF:启用 CSRF 保护,设置会话超时与并发会话限制,防止劫持与滥用。
三 网络安全与加密通信
- 加密传输:为 Jenkins Web 配置 SSL/TLS(反向代理或内置容器),强制 HTTPS 访问,禁用明文 HTTP。
- 网络隔离:通过 VPC/ACL/安全组 限制来源 IP;管理口与构建口分离,避免直接对公网开放 8080。
- 代理与边界防护:使用 Nginx/Apache 作为反向代理,启用 HSTS、CSP、X-Frame-Options、X-XSS-Protection 等安全头。
四 插件、凭据与构建环境
- 插件管理:仅安装必要插件;保持插件 及时更新;启用 插件签名 校验;定期清理 未使用/过时 插件。
- 凭据治理:使用 Credentials Binding 插件集中管理凭据;启用 加密存储;禁止在脚本中明文写入密码/密钥。
- 构建隔离:避免在主节点构建敏感代码;使用 代理/执行器 在隔离环境运行作业;必要时采用 Docker 容器化构建以限制主机访问。
五 日志审计、监控与合规
- 日志与审计:启用 Jenkins 审计日志,记录关键操作;将日志接入 ELK/Splunk;使用 logrotate 进行 轮转与压缩,保留至少 7 天。
- 监控与告警:监控 JVM、队列、执行器、磁盘/内存 等指标,结合 Prometheus/Grafana 设置阈值告警。
- 定期巡检:开展 配置审计、权限审计、漏洞扫描;对异常登录、权限变更、插件安装/卸载事件进行溯源。
