Jenkins基础教程（108）Jenkins安全矩阵：权限矩阵：给你的Jenkins装上防盗门

一条泄露的API密钥，可能让整个公司的数据裸奔，而Jenkins安全远不只是设置密码那么简单。

---

1. 为什么Jenkins安全不能“事后补救”

Jenkins面临的安全挑战主要来自三个方面：

• 广泛的攻击面：从Web界面到构建脚本，从插件漏洞到配置错误，攻击向量多样且复杂。
• 敏感数据集中：Jenkins存储了大量凭证——Git仓库密码、API令牌、部署密钥，这些对攻击者而言都是宝贵资产。
• 自动化特性：CI/CD流程的自动化意味着一旦被入侵，攻击者可以隐蔽地将恶意代码注入到整个产品链中。

想象一下：攻击者只需获取一个凭证，就能将恶意代码注入到你的产品中，并通过自动化流程部署到生产环境。这种威胁不是理论上的，而是每天都在发生。

2. 理解Jenkins安全矩阵：你的自动化帝国门禁系统

2.1 什么是安全矩阵？

简单来说，Jenkins安全矩阵就是一个精细化的权限分配表，它决定了谁能在Jenkins中做什么。

就像一栋大楼的门禁系统，它不只决定谁可以进入大楼，还决定了谁能进入特定楼层、哪个房间，甚至谁能使用特定的设备。

在Jenkins的语境中，安全矩阵通过矩阵形式展示权限，每个列代表一个权限，每个行代表一个用户或组/角色。这包括特殊用户'anonymous'（代表未经身份验证的用户）和'authenticated'（代表所有已认证用户）。

2.2 Jenkins安全的两个方面

实际上，Jenkins安全包含两个正交的方面：

• 安全域：决定用户和他们的身份验证方式。
• 授权策略：决定用户登录后能做什么。

安全矩阵属于授权策略的范畴，它是构建Jenkins安全体系的核心。

2.3 权限层级解析

Jenkins的权限可以分为几个关键层级：

• Overall系统权限：最高权限是Overall的Administer，拥有该权限可以做任何事情。最基本的权限是Overall的Read，用户必须赋予阅读的权限，不然什么都看不到。
• 任务权限：控制任务的创建、配置、删除等。
• 代理权限：管理构建代理的相关权限。
• 视图权限：控制用户能看到的视图和任务列表。

3. 配置安全矩阵：一步步搭建权限围墙

3.1 启用全局安全

第一步是进入全局安全配置页面：

1. 点击"Manage Jenkins" → "Configure Global Security"。
2. 选中"Enable security"复选框。
3. 在"Authorization"部分，选择"Matrix-based security"或"Project-based Matrix Authorization Strategy"。

3.2 添加用户和分配权限

在安全矩阵中，你可以逐步添加用户并分配权限：

1. 添加用户/组：在矩阵表格上方的输入框中输入用户名或组名，然后点击"Add"。
2. 分配权限：为用户或组勾选相应的权限复选框。

权限矩阵配置表示例：

用户/组	任务创建	任务配置	任务删除	系统管理
匿名用户