Jenkins奇技淫巧 — 安全篇

\color{blue}{Jenkins系列文章还在更新和完善中,有什么疑问欢迎留言}

\color{blue}{目录}

Jenkins奇技淫巧 — 安装篇(mac)
Jenkins奇技淫巧 — 配置篇
Jenkins奇技淫巧 — 安全篇
Jenkins奇技淫巧 — 发送邮件篇
Jenkins奇技淫巧 — 全局变量篇
Jenkins奇技淫巧 — 新建任务篇
Jenkins奇技淫巧 — 插件篇
Jenkins奇技淫巧 — 问题篇
Jenkins奇技淫巧 — 命令篇
Jenkins奇技淫巧 — 环境配置篇(Android自动化构建)
Jenkins奇技淫巧 — 参数化构建篇(Android自动化构建)
Jenkins奇技淫巧 — 第一次实战篇(Android自动化构建)
Jenkins奇技淫巧 — Python打包篇(Android自动化构建)

Jenkins奇技淫巧 — Python发送邮件和上传蒲公英(Android自动化构建)

Jenkins奇技淫巧 — 乐固,多渠道打包篇(Android自动化构建)
Jenkins奇技淫巧 — 节点管理篇
Jenkins奇技淫巧 — 优秀文章篇


管理用户(系统管理 -> 管理用户)

在第一篇文章Jenkins奇技淫巧 — 安装篇(mac)里,安装成功后,第一次访问Jenkins,会让我们选择是直接用admin作为管理员登陆Jenkins,还是自己新创建一个管理员账户,如果选择的是直接使用admin进入,那么在用户列表里面就会显示admin账户,由于admin默认的密码很长,很难记忆,所以我们可以重新创建一个管理员账户,当然也可以修改admin的密码和账户名。

  • 创建用户
    管理员账户默认拥有所有的权限,可以进入“系统管理”,配置Jenkins相关数据,管理员再创建管理员,当前管理员可以删除其它管理员账户,管理员可以设置是否允许注册Jenkins登陆账号等,在用户列表,点击左侧新建用户即可创建新的管理员账户。

全局安全配置(系统管理 -> 全局安全配置)

Jenkins官方文档 [https://jenkins.io/zh/doc/book/managing/security/]

访问控制是保护Jenkins环境免受未经授权使用的主要机制。在Jenkins中配置访问控制 是必要的:

屏幕快照 2019-04-18 下午4.14.01.png
  • 访问控制
    1. 安全域
      告诉Jenkins环境如何以及从何处获取用户(或身份)信息。 也称为 "认证"。这里我们用“Jenkins专有用户数据库”,其它安全域请自行查看官方文档

      • Jenkins专有用户数据库
        使用Jenkins自己内置的用户数据存储来进行身份验证,而不是委托给外部系统。 这是Jenkins 2.0或后来安装的Jenkins默认启用的,适用于小环境。

        允许用户注册
        保存后系统管理中就出现管理用户的选项。页面右上角也会出现“登录/注册”的选项。注册后,可以使用Jenkins相关功能。
        
    2. 授权策略
      告诉 Jenkins 环境, 配置用户和/或组可以访问Jenkins的哪些功能和文件。

      • Role-Based Strategy
        使用插件方式,更加细粒度度控制权限

      • 任何用户可以做任何事(没有任何限制)
        每个人都能完全控制Jenkins, 包括没有登陆的匿名用户。 最好不要使用这种配置,除非在本地测试Jenkins主机,当然,我们肯定不希望通过注册的用户也拥有像管理员一样的权限。

      • 遗留模式(Legacy mode)
        与Jenkins <1.164的行为完全相同。也就是说, 如果一个用户拥有 "admin" 角色, 就会被授予对系统的完全控制, 负责 (包括匿名用户) 只会拥有读访问权限。 除了在本地测试Jenkins主机,最好不要使用这种配置。

      • 登录用户可以做任何事(Logged in users can do anything)
        在该模式下, 每个登陆的用户对Jenkins完全控制。根据一个高级选项, 匿名用户获取Jenkins的访问权限, 或者根本无法访问。该模式有助于强制用户在操作前进行登录, 以便于对用户的行为进行审计跟踪。

      • 安全矩阵(Matrix-based security)
        该授权方案对允许用户和组在Jenkins环境下能够进行哪些操作进行细粒度控制

屏幕快照 2019-04-18 下午5.00.28.png

将鼠标放在对应的权限上面,会有说明,英文的可以自行谷歌翻译。

  • 匿名用户(Anonymous Users)
    这里没有给匿名用户任何权限,所以根本无法进入Jenkins首页

  • 认证用户(Authenticated Users)
    比如注册过的用户,就属于该组,当在认证用户栏勾选了权限,同时又给单个用户配置了权限,那么该注册用户的权限是认证用户组的权限和给予用户的权限的并集。点击“add user or group...”添加用户或者用户组,名字是账户名,在用户列表里面展示的。比如这里的pds,test账户。

    - 项目矩阵授权策略(Project-based Matrix Authorization Strategy)
      此授权方案是基于矩阵的安全性的扩展, 它允许为在项目配置屏幕中的 *each project*分别定义额外的访问控制列表 (ACL)。它允许特定的用户和组访问特定的项目, 而不是Jenkins 环境中的所有项目。 基于项目的矩阵授权定义的ACL是附加的,在配置全局安全屏幕中定义的访问授权将与 指定项目的ACL相结合。
    

    安全矩阵和项目矩阵授权策略的配置是一模一样的,唯一的区别是项目矩阵授权策略支持在Job的配置页面再次配置授权策略。

\color{red}{注意1:} 基于矩阵的安全性和基于项目的矩阵授权策略由 Matrix Authorization Strategy Plugin插件提供,它可能不会安装在你的Jenkins中。

\color{red}{注意2:}如果不进行权限控制,你发现注册用户可以修改你Jenkins的配置,所以你可以在认证用户组配置相应权限,而管理员拥有全部权限,或者不允许注册,管理员直接创建用户并设置权限。

凭据配置(系统管理 -> 凭据配置)

凭据是什么,可以理解成账户和密码,在需要使用的时候,可以直接选择需要使用的凭据就可以了,不用输入账户和密码。

讲解凭据配置之前我们来看看,怎么创建凭据,在Jenkins左边又个凭据选项,点击进入。


屏幕快照 2019-04-18 下午5.38.14.png

图片的上面展示的是我们创建的凭据,里面写明了提供者,域,id等,下面是提供者,以及提供者包含了哪些域。默认有一个全局的域

  1. 将鼠标放到提供者名字上面,会出现一个下拉箭头,然后可以添加域,当然你可以点击左边的系统(即默认的提供者),然后添加域。
  2. 点击对应提供者列表下的域,进入域所包含的凭据列表,点击添加凭据。


    屏幕快照 2019-04-18 下午5.45.13.png
  • 类型:
    1. Secret text - 例如 API token(例如 GitHub 的个人 access token)
    2. Username and password - 可以作为单独的组件处理,也可以作为 username:password 格式的冒号分隔字符串来处理
    3. Secret file - 实际上是文件中的秘密内容
    4. SSH Username with private key - 一个 [SSH 密钥对]
    5. Certificate - 指定证书和可选的密码。上传 PKCS#12 证书。
    6. Docker Host Certificate Authentication - 主机证书身份验证凭证.
  • 范围:该凭据能够使用的范围,比如只能本节点能够使用,其它节点不能使用
  • ID:添加凭据后,系统生成的
  1. 添加凭据后


    屏幕快照 2019-04-18 下午5.49.33.png
  2. 那现在我们来看,凭据配置界面


    屏幕快照 2019-04-18 下午5.50.35.png
  • 提供者:就是使用哪些提供者提供的凭据,如果全部不使用,你会发现,左边的凭据选项会消失。
  • 类型:在我们创建凭据的时候,我们所用的类型,比如用户名和密码。
  • 限制:即提供者和类型。

管理员密码忘记

这个自行百度,不同的Jenkins版本可能有些不同。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,098评论 5 476
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,213评论 2 380
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 149,960评论 0 336
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,519评论 1 273
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,512评论 5 364
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,533评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,914评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,574评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,804评论 1 296
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,563评论 2 319
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,644评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,350评论 4 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,933评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,908评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,146评论 1 259
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,847评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,361评论 2 342