在CentOS上安全配置Jenkins可从以下方面入手:
- 系统基础安全
- 删除非必要超级用户,锁定默认账户(如
adm、lp)。
- 强化用户口令,要求包含大小写字母、数字及特殊字符,长度>10位。
- 用
chattr +i保护/etc/passwd等敏感文件,防止未授权修改。
- Jenkins服务配置
- 安装OpenJDK 11+,避免使用过时版本。
- 修改Jenkins默认端口(如从8080改为其他未占用端口),降低扫描风险。
- 禁用匿名访问,在“全局安全配置”中启用认证(如内置数据库、LDAP),并设置权限分级。
- 访问控制与加密
- 配置防火墙(
firewall-cmd)仅允许必要端口(如8080、50000)的访问。
- 启用SSH密钥认证,替代密码登录,限制
AllowUsers为Jenkins专用用户。
- 可选:配置SSL证书加密Web通信(需获取证书并修改Jenkins配置)。
- 插件与日志管理
- 安装安全插件(如Matrix Authorization Strategy、Role-based Authorization Strategy)。
- 启用审计日志,记录用户操作及系统事件,定期分析异常。
- 定期维护
- 每周检查Jenkins及插件更新,及时修补漏洞。
- 备份Jenkins配置和数据(如
/var/lib/jenkins),存储至安全位置。
参考来源: