您遵循过这些Jenkins优秀实践吗？.docxVIP

您遵照过这些Jenkins优秀实践吗？ 2021-03-23 一、时辰保持Jenkins的平安 在默认配置情况下，Jenkins是不执行任何平安检查的。也就是说，除一些简约基本的Jenkins配置、作业和构建，网站的访问者几乎可以在Jenkins的主数据库中执行任何随机代码。同时，Jenkins还允许在全部连接的代理上，执行包括用户密码、证书、以及其他隐私数据之类的代码操作。 具体实践 为了爱护Jenkins的平安，我们需要通过如下两个方面，来“配置全局平安性(Configure Global Security)”选项。 平安领域：?通常也被称为“身份验证”。它会告知Jenkins的基本环境，以及从何处提取用户信息。 如上图所示，从Jenkins V2.214和Jenkins LTS V2.222.1开头，“Jenkins本人的用户数据库”被用作了默认的平安选项。而对于两者之前的版本，我们应当选中“启用平安”复选框，以便利用户使用其凭据登录，进而避开任何侵入。 在配置有诸如LDAP之类外部身份供应者的组织中，我们需要为Jenkins实例安装并启用LDAP插件，以实现将全部身份验证(包括用户和组)，都委派给已配置的LDAP服务器。 授权：告知Jenkins环境中有关哪些用户和(或)组，可以访问Jenkins的哪些方面，以及他们的权限。如上图所示，我们有五种授权的选择方式： 任何人都可以做任何事：除了本地测试的Jenkins把握器，我们应避开启用该设置。到底全部人、包括匿名用户都可以完全把握Jenkins，是极其危急的。 旧版模式：我们同样应当避开选用该设置。只要具有“管理员”角色的用户才能被授予对系统具有完全把握权;否则，他们将只要读取权限。 已登录的用户可以执行任何操作：此模式会强制每个用户在使用Jenkins之前，必需登录。据此，匿名用户只能获得对于Jenkins的读取访问权限，或者根本就没有访问权限。同时，用户的任何操作也会得到审核。 基于矩阵的平安性：该方案可以精确?????把握在Jenkins环境中，哪些用户和组可以执行哪些操作。 基于项目的矩阵授权策略：该插件供应了基于矩阵的平安性，和基于项目的矩阵授权策略，因而它们需要在Jenkins上被单独安装。同时，该授权方案是对基于矩阵的平安性的扩展，它允许在“项目配置”的界面中，为每个项目、以及特定的用户或组，分别定义访问把握列表(ACL)。总的说来，此类策略为很多Jenkins环境供应了极好的平安性和机警性，因而是一种不错的实践。 为了爱护Jenkins用户免受其他威逼，我们还可以按需开启如下功能(它们默认处于关闭形态)： 跨站点恳求伪造(CSRF)爱护：防止针对运转在防火墙内部的Jenkins进行近程攻击。CSRF设置的路径为：“管理Jenkins”“配置全局平安性”“部分：CSRF爱护”。具体说明请参见--https://www.jenkins.io/doc/book/managing/security/#cross-site-request-forgery。当然，从Jenkins 2.0开头，CSRF爱护是默认已启用的。 在主节点上运转构建的平安隐患：在主节点上运转的构建，是可以读取或修改JENKINS_HOME中任何文件的。由于可以读取凭据，创建管道与作业，安装插件，因而会影响Jenkins的整个构建过程。通常，为了配置主节点为不具备执行权限，我们既可以只在构建代理上运转构建，又可以在构建代理中，将管理Jenkins的人员与配置人员，以及提交项目的人员角色区分开来;或者直接使用“作业限制插件(Jobs Restrictions Plugin)”，来对哪些作业可以在主节点上运转进行过滤。 二、一直备份JENKINS_HOME名目 Jenkins的主名目包含了：作业配置、构建日志、插件配置等各种重要的数据。我们可以通过Jenkins供应的插件，来配置需要备份的作业。 具体实践 1.精简备份(Thin Backup)插件 这是全部供应自动化定期备份的工具中，最便利的插件之一。它的启用过程为： · 通过“管理Jenkins”“管理插件”“单击‘可用’选项卡”“搜索‘精简备份’”以安装插件。 ·?完成安装后，请转到“管理Jenkins”“精简备份”“设置”。 ·?单击“马上备份”以测试备份的效果。 2.定期备份插件 如下图所示，一旦配置完成，该插件将会定期运转备份作业。具体内容，请参阅--https://plugins.jenkins.io/periodicbackup/。 该插件定义了如下三个方面： ·?文件管理器：定义在备份中需要包括哪些文件，以及文件的还原策略。例如，ConfigOnly将仅选择配置类XML文件。 ·?存储：指定存档和取消存档备份的方法。