jenkins安全和访问控制

最新推荐文章于 2025-05-28 01:00:00 发布
转载 最新推荐文章于 2025-05-28 01:00:00 发布 · 1.6k 阅读 · 2

本文介绍如何通过设置管理员账号和匿名只读访问来增强Jenkins的安全性,并提供了使用Jenkins自身数据库进行用户管理和权限分配的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一 Jenkins的授权和访问控制
默认地Jenkins不包含任何的安全检查,任何人可以修改Jenkins设置,job和启动build等。显然地在大规模的公司需要多个部门一起协调工作的时候,没有任何安全检查会带来很多的问题。 我们可以通过以下2方面来增强Jenkins的安全:
1) Security Realm,用来决定用户名和密码,且指定用户属于哪个组;
2) Authorization Strategy,用来决定用户对那些资源有访问权限;

在Manage Jenkins -> Configure System -> Enable Security 下可以看到可以使用多种方式来增强Jenkins的授权和访问控制。


二 创建管理员账号+匿名只读

简单地设置一个管理员账号,用来管理jenkins设置,修改job和执行build等。其他的匿名访问的用户将只有只读的权限,不能修改Jenkins的设置,不能修改job,且不能运行build,但是可以访问build的结构,查看build的log等。

1)需要对Jenkins增加如下的启动参数来创建管理员账号:
java -jar jenkins.war --argumentsRealm.passwd.user=password --argumentsRealm.roles.user=admin

例如设置管理员用户为jenkins且密码为swordfish,如下:
java -jar jenkins.war --argumentsRealm.passwd.jenkins=swordfish --argumentsRealm.roles.jenkins=admin

2)在启动后需要在Manage Jenkins -> Configure System来选择enable security,然后选择对Security Realm选择Delegate to servlet container,对Authorization选择Legacy Mode。

3)然后可以在右上角点击login或者 http://yourhost/jenkins/loginEntry来登录,登录后此时你用户管理员权限,可以执行任何的操作。执行完操作后可以选择logout。

4) 对developers增加rebuild的权限。使用管理员登录对需要developer rebuild的job,选择Trigger builds remotely,且设置Authentication Token,例如设置为devbuild,然后developers可以访问http://jenkinsHost/job/project/build?token=token 来启动build。
其中Project为你需要启动build的job。
其中token为你设置的Authentication Token。
如果你有webserver,你可以创建如下的webpage来让developers来启动build:
<h1>Jenkins Force Build Page</h1>
<ul>
    <li>
    <a href="http://jenkins:8080/job/FOO/build?token=build">Force build of Project FOO on Jenkins</a>
    </li>
</ul>


三 使用Jenkins的数据库管理用户且设置用户的访问权限

1)在Manage Jenkins -> Configure System -> Enable Security下为Security Realm选择Jenkins's own user database,且确保Allow users to sign up选中,为Authentication选择Matrix-based security。如下:


2)接着在主页上signup创建第一个管理员账号jenkins如下:

3)除了第一个账号以后signup的账号将为只读账号需要管理员分配权限。例如你可以signup来创建dev账号,然后分配权限使得dev可以启动job的build。如下:


注意:

在%JENKINS_HOME%\config.xml中可以查看和修改所有用户的权限设置,但是修改后需要重新启动Jenkins。

 

参考:

https://wiki.jenkins-ci.org/display/JENKINS/Quick+and+Simple+Security
https://wiki.jenkins-ci.org/display/JENKINS/Standard+Security+Setup

感谢,Thanks!

作者:iTech
出处:http://itech.cnblogs.com/
本文版权归作者iTech所有,转载请包含作者签名和出处,不得用于商业用途,非则追究法律责任!

Jenkins 安全配置
悦分享
01-30 407
打开jenkins页面,点击左侧的系统管理—>Configure Global Security,进入权限配置界面,确保允许账户注册任何用户可以做任何事两个选项没有同时勾选。若使用了安全矩阵,确保anonymous用户不能具有read之外的权限。在Jenkins中,可在 Jenkins 实例建立用户他们的相关权限。默认情况下,不希望每个人都能够在 Jenkins 中定义工作或其他管理任务。通过该漏洞,可以后台管理服务,通过脚本命令行功能执行系统命令,如反弹shell,wget写webshell文件。
Jenkins学习总结(6)——Jenkins安全实践
科技D人生
02-25 946
一、时刻保持Jenkins安全 在默认配置情况下,Jenkins是不执行任何安全检查的。也就是说,除一些简单基本的Jenkins配置、作业构建,网站的访问者几乎可以在Jenkins的主数据库中执行任何随机代码。同时,Jenkins还允许在所有连接的代理上,执行包括用户密码、证书、以及其他隐私数据之类的代码操作。 具体实践 为了保护Jenkins安全,我们需要通过如下两个方面,来“配置全局安全性(Configure Global Security)”选项。安全领域: 通常也被称为“身份验证”。它会
通过Jenkins Script 获取token,往postman 传递环境变量
yiluoseraph的技术博客
04-24 1574
参考:​​​​​​Feature Request: read variables from OS environment · Issue #1603 · postmanlabs/postman-app-support · GitHub 1. 通过Jenkins Script 获取token 2. 在启动时将环境变量传递给postman test #!groovy timeout(time: 2, unit: 'HOURS') { podTemplate(label: label,
Jenkins的授权访问控制
weixin_34168880的博客
11-15 417
Jenkins的授权访问控制默认地Jenkins不包含任何的安全检查,任何人可以修改Jenkins设置,job启动build等。显然地在大规模的公司需要多个部门一起协调工作的时候,没有任何安全检查会带来很多的问题。 我们可以通过以下2方面来增强Jenkins安全:1) Security Realm,用来决定用户名密码,且指定用户属于哪个组;2) Authorization Strate...
jenkins设置token
Dream_Flying_BJ的博客
03-17 4743
给定个url http://integration.bigdata.le.com/user/dingyunlong/configure
jenkins 用户认证token的方式连接k8s
weixin_42562106的博客
04-23 2425
helm install my \ --set jenkinsUser=admin \ --set jenkinsPassword=123qweasd \ --set persistence.enabled=true \ --set persistence.storageClass="openebs-hostpath" \ --set persistence.size=5Gi \ bitnami/jenkins rbac授权 Jenkins通过kubernetes-plugin对
jenkins的用户管理及项目授权
漠效的博客
08-13 3365
前言 通常情况下,使用jenkins服务器的不一定是某一个项目组的成员,而是多个项目组或多个工作组一起使用。因此,我们需要对jenkins的权限进行控制。这一篇介绍jenkins的用户及其权限的管理。 【1】Role-Based插件安装 【2】新用户添加 <1>进入系统管理 <2>进入用户管理 <3>新建用户 <4>...
Jenkins安全基线
个人博客
12-28 992
Jenkins安全基线 访问控制 1.高危-启用Jenkins安全性设置 描述: 默认情况下,匿名用户没有权限,而登录的用户具有完全的控制权。用户可以使用用户名密码登录,以执行匿名用户不可用的操作。哪些操作要求用户登录取决于所选择的授权策略及其配置。对于任何非本地(测试)Jenkins环境,应始终启用此复选框。 加固建议: 打开jenkins控制台,依次选择 系统管理->全局安全配置,勾选启用安全性设置 2.中危-配置NLP TCP端口 描述: Jenkins使用TCP端口与通过JNLP协议启动的代
Jenkins安全防护与性能优化详解:从原理到实践的全方位指南
最新发布
weixin_42593797的博客
05-28 1416
本文深入探讨Jenkins安全防护与性能优化策略。在安全方面,详细介绍了基于角色的权限管理、双因素认证、插件漏洞扫描、HTTPS强制配置等关键措施,并提供了具体配置代码。性能优化部分涵盖JVM参数调优、分布式构建配置构建缓存优化等技巧,包含内存分配、垃圾回收优化以及代理节点设置等实用方案。通过实施这些策略,开发者能够构建既安全又高效的Jenkins自动化构建平台,提升软件开发流程的稳定性效率。
Jenkins配置总结
10-09
- **权限控制**:配置合适的用户权限,保护Jenkins安全性,防止未经授权的操作。 - **健康检查**:定期监控Jenkins的性能稳定性,及时发现并解决潜在问题。 - **日志管理保留策略**:设置日志保存期限,便于...
jenkins脚本触发构建
小小郭
07-27 3684
虽然通过webhook可以自动构建了,但有时候还是想手动触发构建,比如线上环境。 打开项目配置,勾选触发远程构建 身份验证令牌就相当于一个token,所以填写,可以复杂点。 说明中有一串URL,这个就是接下来用于触发的 注意这个URL,前面JENKINS_URL指的是访问这个jenkins的地址,如http://172.16.8.1:8080, 末尾token=TOKEN_NAME,这里
Jenkins 访问控制, 创建做了权限控制的普通账号
wudinaniya的博客
02-18 1153
默认的jenkins,登录用户都可以修改Jenkins设置、启动build 等。显然有需要多个部门多个人一起协调工作的时候,没有任何安全检查会带来很多的问题。 在 Jenkins > Manage Jenkins > Configure Global Security 页面可以 对 “访问控制” 进行相应的设置 Jenkins的权限配置文件存放在 JENKINS_HOM...
jenkins访问不了、jenkins登录不了、jenkins构建报错(各种检查操作)
热门推荐
我有明珠一颗的博客
08-17 1万+
1、检查 jdk 版本,比较新的jenkins版本需要1.8的,检查环境变量中的jdk版本:java -verison 这里有一种情况就是:jenkins可能调用的并不是环境变量里面的jdk版本 1)如果是linux环境下,进入jenkins所在tomcat目录的bin目录下,执行:sh version.sh可以看到jenkins所用jdk版本,如果不是1.7 就在 setclasspath...
[原]Jenkins(十二)---jenkins管理员用户无法登陆解决办法Access Denied
weixin_30408309的博客
03-30 307
/** * lihaibo * 文章内容都是根据自己工作情况实践得出。 *如有错误,请指正 * 版权声明:本博客欢迎转发,但请保留原作者信息! http://www.cnblogs.com/horizonli/p/5337295.html */ 一、问题出现的原因: 如下图,在添加了admin用户之后,没有在安全矩阵中对admin进行赋予权限就退出了jenkins ...
【漏洞通告】 Jenkins CLI 任意文件读取漏洞
y995zq的博客
01-30 2270
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件项目可以进行持续集成。Jenkins 有一个内置的命令行界面(CLI),可从脚本或 shell 环境访问 Jenkins。处理 CLI 命令时, Jenkins 使用args4j库解析 Jenkins 控制器上的命令参数选项。
jenkins 命令行操作说明文档
php_sir的专栏
09-18 5231
假设Jenkins的URL为http://22.11.140.38:9080/jenkins/   基本的格式为 java -jar jenkins-cli.jar [-s JENKINS_URL] command[options][args]   下面具体介绍各个命令的作用及基本使用方法   1.      help 查看所有内嵌命令的基本功能
[CVE-2024-23897]Jenkins CLI 任意文件读取漏洞导致远程代码执行漏洞
whoami
01-26 4705
Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等在 Jenkins 控制器中执行任意代码。Jenkins CLIJenkins 内置的命令行页面。
如何禁用Jenkins项目
明明很多的博客
07-14 2132
1、点击项目名称,进入项目首页 2、点击左侧Configure配置,进入项目配置页 3、在General模块,勾选Disable this project,然后点击SAVE即可
Jenkins CLI 任意文件读取漏洞复现
qq_32947907的博客
01-30 1814
Jenkins CLIJenkins 内置的命令行页面。Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,未授权的攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等在 Jenkins 控制器中执行任意代码。
jenkins游客访问
03-19
<think>好的,我需要帮助用户了解如何配置Jenkins允许游客或匿名访问。首先,我应该回忆Jenkins的权限管理机制。记得Jenkins使用基于角色的权限控制,可能需要调整全局安全设置。 用户提到“以游客身份访问”或“允许匿名访问”,这可能涉及到Jenkins的匿名用户权限设置。根据引用[4],权限是执行操作的授权许可,所以需要确保匿名用户有相应的权限。 首先,进入Jenkins的全局安全配置页面。通常路径是访问Jenkins的URL,点击“Manage Jenkins” -> “Security” 或者直接进入“Configure Global Security”。这里需要检查“启用安全”是否已勾选,如果未启用,默认情况下可能允许匿名访问。但用户可能已经启用了安全设置,需要调整。 接下来,在“授权”部分,选择合适的策略。比如使用“安全矩阵”或“匿名用户可读”策略。如果使用“安全矩阵”,需要找到Anonymous用户,并为其分配所需的权限,例如“Overall Read”权限,这样游客可以查看项目但不能修改。如果是“匿名用户可读”,可能更简单,直接允许匿名用户读取。 另外,检查“代理匿名用户权限”选项,确保匿名用户被正确代理到相应的权限组。可能还需要考虑项目级别的权限设置,确保没有项目单独限制了匿名访问。 记得保存设置后测试,以未登录状态访问Jenkins,确认是否可以浏览项目。如果遇到问题,可能需要检查插件或Jenkins版本,某些版本可能有不同的配置路径。同时,引用[3]提到本地库私有库的配置,虽然不直接相关,但如果有私有库权限问题,也可能间接影响访问,但这里主要关注全局安全设置。 最后,提醒用户开放匿名访问的安全风险,建议仅在内部网络或需要公开只读访问时使用,并定期审查权限设置。这样用户就能安全地配置Jenkins允许游客访问了。</think>### Jenkins允许匿名访问的配置方法 要配置Jenkins允许匿名访问(即游客模式),需通过修改全局安全设置实现。以下是具体步骤: --- #### **步骤1:进入全局安全配置** 1. 登录Jenkins后台,点击左侧导航栏的 **Manage Jenkins**(管理Jenkins)。 2. 选择 **Security**(安全)或 **Configure Global Security**(全局安全配置)[^1]。 --- #### **步骤2:调整安全策略** 在 **Security Realm**(安全域)部分: - 选择 **Logged-in users can do anything**(已登录用户可执行任何操作)会导致匿名用户无权限。 - **若要允许匿名访问**,需选择其他策略,例如: - **Allow anonymous read access**(允许匿名用户只读访问)[^4]。 - 或使用 **Legacy mode**(兼容模式)保留旧版权限控制。 --- #### **步骤3:配置授权策略** 在 **Authorization**(授权)部分: 1. 选择 **安全矩阵(Security Matrix)** 或 **匿名用户可读(Anonymous Read)**。 2. **若使用安全矩阵**: - 找到 **Anonymous**(匿名用户)行。 - 勾选以下权限(按需分配): - **Overall**(全局权限):`Read`(允许查看Jenkins基础信息)。 - **Job**(任务权限):`Read`(允许查看任务列表构建历史)。 - **View**(视图权限):`Read`(允许查看视图分类)。 示例权限矩阵配置: ``` Anonymous用户权限: - Overall/Read - Job/Read - View/Read ``` --- #### **步骤4:保存并验证** 1. 点击页面底部的 **Save**(保存)。 2. 退出登录或打开无痕浏览器,访问Jenkins首页,确认无需登录即可浏览任务构建记录。 --- #### **注意事项** - **安全风险**:开放匿名访问可能导致敏感信息泄露,建议仅在内部网络或受信任环境中使用。 - **插件冲突**:部分插件(如Role-based Authorization Strategy)可能覆盖全局设置,需检查插件配置[^4]。 --- ### 相关问题 1. **如何限制匿名用户仅查看特定项目?** > 需使用角色插件(如Role-based Authorization Strategy),为匿名用户分配细粒度权限[^4]。 2. **Jenkins匿名访问导致构建日志泄露,如何修复?** > 在安全矩阵中取消匿名用户的`Job/Build``Job/Workspace`权限。 3. **Jenkins全局安全设置无法保存,可能原因是什么?** > 检查Jenkins服务权限或配置文件是否被锁定。 --- 通过以上步骤,可灵活控制Jenkins的匿名访问权限,平衡便利性与安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值