CentOS 上 Jenkins 安全配置清单
一 基础与网络加固
- 更新系统与 Java:保持系统与安全修复同步,使用受支持的 OpenJDK 11+。示例:
sudo yum update -y && sudo yum install -y java-11-openjdk-devel。
- 修改默认端口并仅开放必要端口:编辑 /etc/sysconfig/jenkins,将 JENKINS_PORT 改为非默认端口;用 firewalld 仅放行 8080/TCP(如启用 HTTPS 则放行 443/TCP),示例:
sudo firewall-cmd --permanent --add-port=8080/tcp && sudo firewall-cmd --reload。
- 建议前置反向代理并启用 HTTPS/TLS,避免明文传输与直接暴露 8080;如必须用 HTTP,务必限制来源 IP 与端口访问。
- 代理或云环境可结合安全组/ACL,仅允许企业内网或跳板机访问管理端口与代理端口。
二 身份认证与授权
- 启用安全:进入 Manage Jenkins → Configure Global Security,勾选 Enable security。
- 选择认证方式:优先使用 Jenkins 内置用户数据库 或对接 LDAP/企业SSO;不建议长期使用“允许注册”。
- 选择授权策略:避免使用“任何用户可以做任何事/遗留模式”。生产建议用 Matrix Authorization Strategy 或 Role-based Authorization Strategy 插件,按“用户/组 × 权限”精细化授权,并默认禁用 匿名访问。
- 细粒度项目权限:对多团队多项目,启用“项目矩阵授权”,在 Job/文件夹级配置 ACL,实现“最小权限”。
三 凭据、CSRF 与网络安全
- 凭据集中与加密存储:使用 Credentials Binding 等插件,集中管理 SSH 私钥、用户名/密码、API Token,避免明文出现在 Job 配置或代码库。
- 保护初始密钥文件:首次解锁用的 /var/lib/jenkins/secrets/initialAdminPassword 仅限首次使用,妥善保护或删除;不要长期保留在磁盘。
- 启用并验证 CSRF 保护(默认已开启):确保浏览器与反向代理转发必要的 CSRF crumb/头;如使用远程 API,使用带 crumb 的请求或 API Token。
- 代理与 JNLP 端口:如使用 JNLP/Java Web Start 代理,建议选择随机 JNLP 端口以降低被扫描命中概率;若选固定端口,务必在防火墙仅允许代理网段访问,并尽量限制为内网来源。
四 系统与运行环境加固
- 运行用户与最小权限:保持 Jenkins 服务以 jenkins 用户运行,避免使用 root 运行控制器;通过文件系统权限与 sudo 策略,仅授予构建/部署所需的最小权限。
- 构建隔离:尽量在 代理节点(Agent) 执行构建与部署,控制器只负责任务编排与凭证托管,降低主机被污染风险。
- 审计与监控:定期查看 /var/log/jenkins/jenkins.log,对关键操作(创建任务、凭据变更、系统配置修改)建立审计与告警。
- 定期更新:及时更新 Jenkins 核心与插件,第一时间获取安全修复;变更前在测试环境验证,采用滚动/蓝绿升级降低风险。
五 快速检查清单
| 检查项 |
推荐配置 |
验证方式 |
| 访问端口 |
非默认端口 + 仅 8080/443 放行 |
`ss -lntp |
| 反向代理与 TLS |
Nginx/Apache 终止 TLS,设置 HSTS |
浏览器查看证书与响应头 Strict-Transport-Security |
| 认证与授权 |
内置/LDAP + RBAC/矩阵;禁用匿名 |
未登录访问受限;不同用户权限符合矩阵 |
| CSRF |
启用并验证 crumb |
远程 API 带 crumb 调用成功 |
| 凭据 |
集中加密存储 |
凭据列表仅管理员可见,无明文 |
| 代理与端口 |
JNLP 随机端口或固定端口+白名单 |
仅代理网段能连 JNLP 端口 |
| 日志与更新 |
日志集中与定期审计;核心与插件及时更新 |
tail -f /var/log/jenkins/jenkins.log;插件页无高危更新 |
以上步骤按“先网络、再认证、后凭据与运行环境”的顺序实施,可在不影响现网业务的前提下显著提升 Jenkins 在 CentOS 上的安全性与可运维性。
