Jenkins在Linux上的安全策略有哪些

Jenkins在Linux上的安全策略清单

一 系统与网络加固

• 保持系统与依赖更新：定期执行包管理器更新（如 yum update -y / apt update），及时修补内核与中间件漏洞。
• 最小化开放端口与访问面：仅开放必要端口，默认 8080（Web）与 50000（JNLP Agent），生产建议前置 Nginx/HAProxy 并仅暴露 443/80；使用 firewalld/ufw 限制来源网段。
• 禁用不必要服务与协议：关闭 Telnet/FTP 等明文或高风险服务，减少攻击面。
• SSH 安全基线：禁止 root 远程登录，优先使用 SSH 密钥，必要时限制可登录用户与来源 IP。
• 文件与账户防护：对关键账户与口令文件（如 /etc/passwd、/etc/shadow）设置不可变属性（如 chattr +i），降低被篡改风险。

二 身份认证与访问控制

• 启用并强制身份认证：在 Manage Jenkins → Configure Global Security 勾选 Enable security，避免匿名接管。
• 集中式身份源：优先对接 LDAP/Active Directory/GitHub 等外部认证，统一账号生命周期管理。
• 细粒度授权：使用 Role-based Authorization Strategy 或 Matrix Authorization Strategy 按项目/视图/节点分配权限，遵循最小权限原则。
• 会话与请求防护：保持 CSRF Protection 默认开启；按需关闭 匿名读 与危险功能入口。

三 传输加密与反向代理

• 全站 HTTPS：通过 Nginx/Apache 终止 TLS，使用 Let’s Encrypt 或企业 CA 证书，禁用明文 HTTP。
• 代理配置要点：设置 X-Forwarded-Proto、X-Forwarded-Port、Host 等请求头，确保 Jenkins URL 与反向代理一致，避免重定向与权限错配。
• 直接启用 HTTPS（可选）：在 /etc/sysconfig/jenkins 中配置 JENKINS_HTTPS_PORT=443、JENKINS_HTTPS_KEYSTORE 与 JENKINS_HTTPS_KEYSTORE_PASSWORD 后重启服务。

四 凭证与敏感信息管理

• 使用内置凭证存储：将 密码、API Key、SSH 私钥 等存入 Credentials，禁止硬编码到 Jenkinsfile/脚本/配置。
• 最小权限与定期轮换：为凭证绑定最小可用范围，定期轮换 SSH 密钥/密码（如每 90 天），并及时撤销失陷凭据。
• 凭据使用规范：在 Pipeline 中使用 withCredentials 绑定临时凭据，构建结束自动清理环境，降低泄露风险。

五 插件、更新、审计与备份

• 插件治理：仅安装必要插件，保持 Jenkins 核心与插件 为最新稳定版，移除不再维护或低活跃插件，降低供应链风险。
• 安全审计与监控：启用 Audit Trail 记录关键操作，结合 系统日志 与登录失败告警，定期审计异常行为。
• 备份与恢复演练：定期备份 /var/lib/jenkins（配置、作业、凭证等），验证可恢复性；生产建议采用 Master–Agent 架构与 负载均衡/故障转移，降低单点风险。