1、jenkins未授权访问
描述:
jenkins不当配置可导致未授权访问管理控制台,可以通过脚本命令行执行系统命令。通过该漏洞,可以后台管理服务,通过脚本命令行功能执行系统命令,如反弹shell,wget写webshell文件。
加固建议:
打开jenkins页面,点击左侧的系统管理—>Configure Global Security,进入权限配置界面,确保允许账户注册和任何用户可以做任何事两个选项没有同时勾选。若使用了安全矩阵,确保anonymous用户不能具有read之外的权限。
2、为建立用户设置权限
在Jenkins中,可在 Jenkins 实例建立用户和他们的相关权限。默认情况下,不希望每个人都能够在 Jenkins 中定义工作或其他管理任务。因此,Jenkins 必须有一个安全配置的能力。
- Jenkins初始化过程中会先注册一个管理员用户
- 管理员用户再创建后续的一般用户
- 管理员用户登录进行后续配置
- 启用用户安全配置,Manage Jenkins -> Configure Global Security
权限管理
- 注册用户的操作的权限控制
- 必须由管理员来完成
- 用户可以自由注册,启用之后在Jenkins首页可以看到Sign-up 入口
- 注册权限配置位置在“Configure Global Security”中
- 团队规模不大(10人