Ubuntu 上提升 Jenkins 安全性的实用清单
一 基础加固
- 更新与最小化安装:保持 Jenkins 及其插件为最新 LTS 版本;仅安装必要的插件,及时移除不再维护或有漏洞的组件。
- Java 运行时:使用受支持的 OpenJDK 11 或 17,避免使用已 EOL 的 Java 版本。
- 访问控制:在 Manage Jenkins > Configure Global Security 勾选 Enable security;身份认证建议用 Jenkins 内置数据库 / LDAP / GitHub OAuth;授权策略优先 Project-based Matrix Authorization 或 Role-Based Strategy,遵循最小权限原则。
- 会话与 CSRF:启用 CSRF Protection;如使用反向代理或负载均衡,按需开启 Enable proxy compatibility。
- 凭据管理:统一在 Credentials 中管理 SSH 私钥、API Token、用户名/密码,避免在 Job 配置或代码库明文存放。
- 网络与端口:仅放通必要来源 IP 与端口;默认 8080 仅在内网或受控网络开放,生产建议前置 反向代理/负载均衡对外暴露。
二 传输加密与反向代理
- 推荐通过 Nginx/Apache 反向代理提供 HTTPS,终止 TLS,避免在应用层直接暴露明文端口。
- 证书与自动化:使用 Let’s Encrypt 自动签发与续期证书,配置强加密套件与 HSTS。
- 代理配置要点:开启 ProxyPreserveHost On,设置合适的 X-Forwarded-For/X-Forwarded-Proto,并在 Jenkins 中正确配置 Jenkins URL 与 CSRF proxy compatibility,确保登录与会话正常。
三 系统与网络安全
- 防火墙:使用 ufw 仅放行 80/443(或仅内网放通 8080),并限制管理源地址。
- 反向代理与端口隔离:将 8080 仅绑定 127.0.0.1,由 Nginx/Apache 对外提供 443;代理与 Jenkins 之间使用本地回环通信。
- 代理与 Agent 通信:如需 JNLP/WebSocket 代理,仅开放 TCP 50000 到受控网段,并使用强认证与网络 ACL。
- 入侵防护:启用 Fail2ban 对暴力登录与异常访问进行自动封禁;对关键目录设置最小权限与完整性校验。
四 备份与监控审计
- 配置与作业备份:定期备份 $JENKINS_HOME(含 jobs/、config.xml、credentials.xml、plugins/ 等),并进行离线/异地保存与恢复演练。
- 日志与审计:集中收集 /var/log/jenkins/jenkins.log,启用 Audit Trail 等审计插件,对关键操作(创建任务、凭据变更、系统配置)进行留痕与告警。
- 监控与告警:监控 JVM/HTTP 响应/队列长度/磁盘 IO,结合 Logwatch 或集中式日志平台(如 ELK)设置阈值告警。
五 快速检查清单
| 检查项 |
推荐做法 |
关键要点 |
| 版本与插件 |
升级至 LTS,定期更新插件 |
减少攻击面 |
| 认证与授权 |
启用安全;用 RBAC/矩阵 精细授权 |
最小权限 |
| 传输加密 |
Nginx/Apache + HTTPS + Let’s Encrypt |
强加密套件、HSTS |
| 代理与端口 |
仅 127.0.0.1:8080;对外 443;50000 仅内网 |
限制暴露面 |
| 凭据管理 |
统一在 Credentials 管理 |
禁止明文 |
| 防火墙 |
ufw 仅放行必要端口与来源 |
白名单优先 |
| 备份与恢复 |
定期备份 $JENKINS_HOME 并演练 |
可回滚 |
| 日志与审计 |
集中日志 + Audit Trail |
可追溯 |
| 入侵防护 |
Fail2ban 自动封禁 |
防暴力 |
| 构建环境 |
Docker Agent 隔离;凭据绑定 |
避免主机污染 |