编辑“︁Jenkins安全加固”︁（章节）

= Jenkins安全加固 =

Jenkins安全加固是指通过配置、插件和最佳实践来保护Jenkins服务器免受未经授权的访问、数据泄露和其他安全威胁。作为一款广泛使用的持续集成/持续交付（CI/CD）工具，Jenkins的安全加固至关重要，尤其是在企业环境中。本指南将详细介绍如何通过多种方式增强Jenkins的安全性。

== 1. 基本安全配置 ==

=== 1.1 启用身份验证 ===
默认情况下，Jenkins可能允许匿名访问。建议启用身份验证机制，确保只有授权用户才能访问系统。

<syntaxhighlight lang="groovy">
// 在 Jenkins 配置文件中启用安全选项
jenkins.model.Jenkins.instance.setSecurityRealm(new hudson.security.HudsonPrivateSecurityRealm(false))
jenkins.model.Jenkins.instance.setAuthorizationStrategy(new hudson.security.GlobalMatrixAuthorizationStrategy())
</syntaxhighlight>

**说明**：
- `HudsonPrivateSecurityRealm` 启用内置用户数据库。
- `GlobalMatrixAuthorizationStrategy` 提供细粒度的权限控制。

=== 1.2 配置权限矩阵 ===
Jenkins的权限矩阵允许管理员精确控制用户或用户组的权限。

**示例权限配置**：
* **匿名用户**：仅允许读取权限。
* **开发者**：允许构建、查看工作空间。
* **管理员**：完全控制权限。

== 2. 网络与通信安全 ==

=== 2.1 使用HTTPS ===
确保Jenkins通过HTTPS运行，以防止网络流量被窃听或篡改。

<syntaxhighlight lang="bash">
# 使用Nginx反向代理配置HTTPS
server {
    listen 443 ssl;
    server_name jenkins.example.com;

    ssl_certificate /etc/ssl/certs/jenkins.crt;
    ssl_certificate_key /etc/ssl/private/jenkins.key;

    location / {
        proxy_pass http://localhost:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
    }
}
</syntaxhighlight>

=== 2.2 限制网络访问 ===
通过防火墙规则限制Jenkins的访问来源。

<syntaxhighlight lang="bash">
# 仅允许特定IP访问Jenkins
iptables -A INPUT -p tcp --dport 8080 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP
</syntaxhighlight>

== 3. 插件与脚本安全 ==

=== 3.1 仅安装可信插件 ===
Jenkins插件可能包含漏洞或恶意代码，建议仅从官方插件库安装，并定期更新。

**检查插件安全性的方法**：
1. 查看插件评分和下载量。
2. 检查插件是否维护活跃。
3. 使用 `Plugin Manager` 更新插件。

=== 3.2 沙箱执行Groovy脚本 ===
Jenkins Pipeline脚本可能执行危险操作，建议启用沙箱模式。

<syntaxhighlight lang="groovy">
// 在Jenkinsfile中启用脚本安全
properties([
    pipelineTriggers([]),
    disableConcurrentBuilds(),
    scriptApproval([
        'method java.util.List add java.lang.Object'
    ])
])
</syntaxhighlight>

== 4. 日志与审计 ==

=== 4.1 启用审计日志 ===
记录所有关键操作，便于事后审计。

<syntaxhighlight lang="xml">
<!-- 在Jenkins配置中启用审计日志 -->
<logger name="hudson.model.User" level="INFO" additivity="false">
    <appender-ref ref="AUDIT_FILE"/>
</logger>
</syntaxhighlight>

=== 4.2 监控异常行为 ===
使用 `Monitoring` 插件检测异常登录或构建行为。

== 5. 实际案例 ==

=== 案例：企业级Jenkins加固 ===
某金融公司采用以下措施：
1. **多因素认证（MFA）**：结合LDAP和Google Authenticator。
2. **定期备份**：使用 `ThinBackup` 插件备份配置。
3. **漏洞扫描**：集成 `OWASP Dependency-Check` 检查依赖安全。

<mermaid>
graph TD
    A[用户登录] --> B{MFA验证}
    B -->|成功| C[访问Jenkins]
    B -->|失败| D[拒绝访问并记录日志]
</mermaid>

== 6. 总结 ==
Jenkins安全加固是一个多层次的过程，包括：
* **身份验证与授权**
* **网络与通信安全**
* **插件与脚本管理**
* **日志与审计**

遵循这些最佳实践可显著降低安全风险，确保CI/CD管道的可靠性。

[[Category:集成部署]]
[[Category:Jenkins]]
[[Category:Jenkins最佳实践]]