Jenkins 是一种流行的持续集成与持续交付(CI/CD)工具,广泛应用于自动化构建、测试和部署流程。然而,为了确保其在生产环境中的安全性,需要进行细致的配置。本文将详细介绍如何在 Debian 系统上安装和配置 Jenkins,并重点讨论安全相关的配置步骤。
确保你的 Debian 系统满足以下要求:
Debian 10 或更新版本
推荐使用 OpenJDK 11 或更高版本
确保系统已更新至最新版本:
sudo apt update && sudo apt upgrade -y
添加 Jenkins 仓库:
wget -q -O - https://pkg.jenkins.io/debian/jenkins.io.key | sudo apt-key add -
echo deb http://pkg.jenkins.io/debian-stable binary/ | sudo tee /etc/apt/sources.list.d/jenkins.list
安装依赖:
sudo apt install -y daemon
安装 Jenkins:
sudo apt install jenkins -y
启动 Jenkins 服务:
sudo systemctl start jenkins
启用 Jenkins 开机自启:
sudo systemctl enable jenkins
检查 Jenkins 状态:
sudo systemctl status jenkins
第一次访问 Jenkins 时,需要输入初始管理员密码。可以通过以下命令找到初始密码:
sudo cat /var/lib/jenkins/secrets/initialAdminPassword
成功解锁 Jenkins 后,建议安装以下插件:
进入 Manage Jenkins -> Plugin Manager -> Advanced,将 Update Site 替换为国内镜像(如清华源),以加速下载。
插件安装完成后,创建一个新的管理员用户,填写必要的用户名、密码和联系信息,并保存设置。
进入 Manage Jenkins -> Configure Global Security,勾选 Enable security,启用安全配置。
在 Manage Jenkins -> Security -> Enable security 中,确保 Logged-in users can do anything 已被勾选,以禁用匿名用户访问。
如果服务器启用了防火墙(如 UFW),确保允许 HTTP 和 HTTPS 流量通过:
sudo ufw allow 8080
sudo ufw allow 443
为防止密码穷举攻击,建议使用 SSH 密钥对进行身份认证。将客户端生成的公钥添加到服务器端用户的 ~/.ssh/authorized_keys 文件中。
编辑 /etc/ssh/sshd_config 文件,将 PermitRootLogin 设置为 no,禁止 root 用户远程登录:
PermitRootLogin no
在 /etc/ssh/sshd_config 中设置 PermitEmptyPasswords no,禁止使用空密码登录:
PermitEmptyPasswords no
通过以上步骤,你可以有效地提高 Jenkins 在 Debian 系统上的安全性,确保持续集成与持续交付流程的顺利进行。