Ubuntu Jenkins安全设置如何做

Ubuntu Jenkins安全设置指南

1. 安装与更新Jenkins

首先在Ubuntu上安装Jenkins及依赖的Java环境（Jenkins需Java 11及以上版本）：

sudo apt update
sudo apt install openjdk-11-jdk -y
wget -q -O - https://pkg.jenkins.io/debian-stable/jenkins.io.key | sudo apt-key add -
sudo sh -c 'echo deb http://pkg.jenkins.io/debian-stable binary/ /etc/apt/sources.list.d/jenkins.list'
sudo apt update
sudo apt install jenkins -y

安装完成后，启动Jenkins服务并设置开机自启：

sudo systemctl start jenkins
sudo systemctl enable jenkins

定期通过sudo apt update && sudo apt upgrade jenkins更新Jenkins至最新版本，修复已知安全漏洞。

2. 启用全局安全配置

登录Jenkins管理界面（默认地址http://<服务器IP>:8080），进入Manage Jenkins > Configure Global Security：

• 启用安全：勾选“Enable security”，强制用户通过用户名/密码登录。
• 安全领域（Security Realm）：选择身份验证方式：
  • Jenkins’ own user database（默认）：自行管理用户账号；
  • LDAP：集成企业LDAP目录服务（适合大型组织）；
  • Unix user/group database：使用系统用户认证（适合Linux环境）。
• 授权策略（Authorization）：推荐选择Role-Based Strategy（基于角色的访问控制），支持细粒度的权限分配；或选择Project-based Matrix Authorization Strategy（项目级矩阵授权），灵活控制用户对项目的访问权限。

3. 配置基于角色的权限管理（推荐）

3.1 安装Role-based Authorization Strategy插件

进入Manage Jenkins > Manage Plugins > Available，搜索“Role-based Authorization Strategy”，点击“Install without restart”完成安装。

3.2 配置角色与权限

• 进入Manage Jenkins > Manage and Assign Roles > Manage Roles：
  • 全局角色（Global roles）：定义系统级权限（如“Overall Administer”管理整个Jenkins、“Overall Read”查看Jenkins）；
  • 项目角色（Project roles）：定义项目级权限（如“Developer”可构建/修改特定项目、“Viewer”仅能查看项目），使用通配符（如project-*）匹配多个项目；
  • 节点角色（Node roles）：定义节点级权限（如限制用户只能在特定节点执行构建）。
• 进入Manage and Assign Roles > Assign Roles：
  • 将用户添加到对应角色（如将dev-user添加到“Developer”项目角色，将admin-user添加到“Overall Administer”全局角色）。

4. 配置防火墙

使用ufw（Uncomplicated Firewall）开放Jenkins默认端口（8080），限制访问来源：

sudo ufw allow from <允许的IP段> to any port 8080/tcp
sudo ufw enable
sudo ufw reload

例如，仅允许公司内网（192.168.1.0/24）访问：sudo ufw allow from 192.168.1.0/24 to any port 8080/tcp。

5. 启用SSL加密（可选但推荐）

为避免数据传输泄露，配置HTTPS访问：

• 生成自签名证书（测试环境使用）：

  sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /var/lib/jenkins/jenkins.key -out /var/lib/jenkins/jenkins.crt
  sudo chown jenkins:jenkins /var/lib/jenkins/jenkins.key /var/lib/jenkins/jenkins.crt
  sudo chmod 600 /var/lib/jenkins/jenkins.key
  

• 配置Jenkins使用SSL：编辑/etc/default/jenkins，修改JENKINS_ARGS：

  JENKINS_ARGS="--httpPort=-1 --httpsPort=8443 --httpsKeyStore=/var/lib/jenkins/jenkins.keystore --httpsKeyStorePassword=yourpassword"
  

  将证书转换为JKS格式（需安装keytool）：

  sudo keytool -importkeystore -srckeystore /var/lib/jenkins/jenkins.key -destkeystore /var/lib/jenkins/jenkins.keystore -deststoretype JKS
  

  重启Jenkins生效：sudo systemctl restart jenkins。

6. 配置CSRF保护

在Configure Global Security的“CSRF Protection”部分，保持“Enable proxy compatibility”选项勾选，防止跨站请求伪造攻击。

7. 定期审计与监控

• 开启审计日志：进入Manage Jenkins > Configure System，找到“Audit Log”部分，勾选“Enable audit log”，记录用户操作（如登录、项目修改、构建触发）。
• 监控日志文件：定期检查Jenkins日志（/var/log/jenkins/jenkins.log），使用tail -f /var/log/jenkins/jenkins.log实时查看异常行为。
• 监控性能：使用Java VisualVM或JConsole监控Jenkins内存、CPU使用情况，避免因资源耗尽导致服务中断。

8. 其他安全最佳实践

• 使用非root用户运行Jenkins：编辑/etc/default/jenkins，修改JENKINS_USER为非root用户（如jenkins）：

  JENKINS_USER=jenkins
  

  重启Jenkins：sudo systemctl restart jenkins。
• 限制插件安装：仅从官方仓库安装插件，定期审查插件列表（移除不再使用的插件），避免插件漏洞。
• 备份配置：定期备份Jenkins配置目录（/var/lib/jenkins）和作业数据，防止数据丢失。