Linux下Jenkins怎样设置权限

Linux下Jenkins权限设置实操指南

一 权限模型与总体思路

• 在 Linux 上，Jenkins 的权限通常分为两层：
  • 操作系统层：决定 Jenkins 进程以哪个系统用户运行、工作目录与日志的访问权限。
  • Jenkins 应用层：通过 安全域（认证） 与 授权策略 控制用户能做什么，例如使用 安全矩阵 或 基于角色的访问控制 RBAC（Role-Based Authorization Strategy 插件）。
• 推荐做法：保持以 jenkins 系统用户运行，按需授予目录权限；在应用层启用安全与授权，细化到 Overall、Job、Run、View、Credentials、Node/Slave 等粒度。

二 操作系统层权限设置

• 确认运行用户与目录归属
  • 查看并确认服务运行用户（常见为 jenkins）：
    • systemd 系统：grep -i jenkins /usr/lib/systemd/system/jenkins.service
    • SysVinit 系统：grep -i jenkins /etc/sysconfig/jenkins
  • 目录默认归属示例：/var/lib/jenkins、/var/log/jenkins、/var/cache/jenkins、/var/run/jenkins。
• 规范目录权限（示例）
  • 保持以 jenkins:jenkins 运行，并修正归属与权限：
    • chown -R jenkins:jenkins /var/lib/jenkins /var/log/jenkins /var/cache/jenkins /var/run/jenkins
    • chmod -R u+rwX,go-w /var/lib/jenkins /var/log/jenkins /var/cache/jenkins
  • 如需让 Jenkins 执行部署脚本/拉取代码，优先采用“将 jenkins 加入目标用户组”的方式，而非直接改为 root。
• 变更运行用户（如确需改为其他系统用户）
  • 编辑服务文件（systemd：/usr/lib/systemd/system/jenkins.service；SysV：/etc/sysconfig/jenkins），将 User=jenkins 改为目标用户，随后执行 systemctl daemon-reload 并重启服务。
• 端口与防火墙
  • 修改端口：编辑服务文件中的 –httpPort=8080 为所需端口（如 8081），然后重启服务。
  • 放行防火墙：firewall-cmd --add-port=8081/tcp --permanent && firewall-cmd --reload（以实际端口为准）。

三 Jenkins 应用层权限设置

• 启用安全与选择授权策略
  • 进入 Manage Jenkins → Configure Global Security：
    • 勾选 Enable security。
    • 安全域常用：Jenkins’ own user database（可配合“允许用户注册”）。
    • 授权策略常用：
      • 安全矩阵（Global Matrix Authorization Strategy）：以表格方式为单个用户/组勾选 Overall、Job、Run、View、Credentials、Node/Slave 等权限，适合小团队精细控制。
      • RBAC（Role-Based Authorization Strategy 插件）：先安装插件，再在授权策略中选择 Role-Based Strategy，通过 Manage and Assign Roles 配置全局角色与项目角色并绑定用户，适合多团队/多项目分权。
• 常见初始化与恢复
  • 首次进入设置管理员账户；若不慎回收了管理员权限导致无法登录，可在 $JENKINS_HOME/config.xml 中临时将授权策略改为 Unsecured 恢复访问，再重新配置权限后改回。

四 常见场景与配置示例

• 场景A 最小权限的团队分工
  • 创建 dev / test / ops 三个用户。
  • 采用 RBAC：
    • 全局角色：给所有用户 Overall/Read。
    • 项目角色：定义如 dev-. / test-. / prod-.*** 的模式，分别授予 Job/Read、Job/Build、Job/Cancel、Job/Configure 等；将用户绑定到对应项目角色，实现按项目前缀隔离与授权。
• 场景B 使用安全矩阵快速授权
  • 为用户/组在矩阵中勾选所需权限：
    • 管理员：勾选 Overall/Administer 与关键系统权限。
    • 开发者：勾选 Job/Read、Job/Build、Job/Cancel、View/Read 等。
    • 访客：仅 Overall/Read、View/Read。
• 场景C 构建需要更高系统权限
  • 不建议将运行用户改为 root。更安全的做法：
    • 将 jenkins 加入目标系统组（如 docker、部署目标用户组），并配置目录/资源的 ACL 或组写权限；
    • 在构建步骤中使用 sudo 按需授权（配置 NOPASSWD 的最小化命令白名单）。

五 排错与运维要点

• 无法登录或提示 AccessDeniedException2: anonymous 没有全部/Read 权限
  • 检查 Configure Global Security 是否已启用安全；确认匿名用户未被误删 Overall/Read；必要时临时改为 Unsecured 恢复后再修正授权策略。
• 构建报“Permission denied”
  • 核对工作空间/日志/工具目录的属主与权限是否为 jenkins:jenkins；确认执行脚本所需目录对 jenkins 可写/可执行；如使用 sudo，检查 /etc/sudoers 的授权范围。
• 端口占用或访问不通
  • 检查服务文件中的 –httpPort；确认防火墙与云安全组已放行对应端口；重启服务后查看日志：journalctl -u jenkins 或 tail -f /var/log/jenkins/jenkins.log。