Jenkins安全基线

最新推荐文章于 2024-05-17 02:50:54 发布
最新推荐文章于 2024-05-17 02:50:54 发布
阅读量806 收藏 1
点赞数
分类专栏: # 基线加固 文章标签: jenkins 基线
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36531487/article/details/122193716
版权

Jenkins安全基线

访问控制

1.高危-启用Jenkins安全性设置

描述:

默认情况下,匿名用户没有权限,而登录的用户具有完全的控制权。用户可以使用用户名和密码登录,以执行匿名用户不可用的操作。哪些操作要求用户登录取决于所选择的授权策略及其配置。对于任何非本地(测试)Jenkins环境,应始终启用此复选框。

加固建议:

打开jenkins控制台,依次选择 系统管理->全局安全配置,勾选启用安全性设置

2.中危-配置NLP TCP端口

描述:

Jenkins使用TCP端口与通过JNLP协议启动的代理(如基于Windows的代理)进行通信。截止Jenkins 2.0,默认情况下此端口被禁用。 对于希望使用基于JNLP代理的管理员,以下两种类型的端口可供选用: 随机:随机选择JNLP端口,避免Jenkins主机发生冲突 。该方式的缺点是在Jenkins主引导期间,难以管理允许JNLP流量的防火墙规则。 固定:由Jenkins管理员选择JNLP端口,端口在Jenkins主控器的重新启动之间是一致的。这使得管理防火墙规则更容易,允许基于JNLP的代理连接到主服务器。

加固建议:

打开jenkins控制台,依次选择系统管理->全局安全配置,在代理配置中选择禁用,或者指定端口并配置端口

入侵防范

3.高危-Jenkins插件版本存在安全漏洞

描述:

Jenkins插件以下版本存在漏洞,容易被入侵 :

  1. Jenkins GitHub插件小于1.29.1
  2. Script Security插件小于1.55
  3. Pipeline: Groovy插件小于2.61

加固建议:

升级插件至最新版,完成漏洞修复

4.高危-Jenkins版本存在安全漏洞

描述:

Jenkins以下版本存在漏洞,容易被入侵 :

  1. Jenkins weekly 2.132 以及更早的版本。Jenkins LTS 2.121.1 以及更早的版本存在任意文件读取漏洞
  2. Jenkins weekly2.32之前和Jenkins LTS2.19.3的版本中存在代码执行漏洞
  3. Jenkins weekly1.638之前和Jenkins LTS 1.625.2之前版本中的Jenkins CLI子系统 存在反序列化远程代码执行漏洞
  4. Jenkins weekly 2.56之前和Jenkins LTS 2.46.1 之前存在远程代码执行漏洞
  5. Jenkins weekly 1.650之前和Jenkins LTS 1.642.2 存在低权限用户命令执行漏洞
  6. Jenkins weekly 1.650之前和Jenkins LTS 1.642.2 存在远程代码执行漏洞

加固建议:

更新服务至最新版本,完成漏洞的修复

5.高危-Jenkins未授权访问

描述:
jenkins不当配置可导致未授权访问管理控制台,可以通过脚本命令行执行系统命令。通过该漏洞,可以后台管理服务,通过脚本命令行功能执行系统命令,如反弹shell,wget写webshell文件。

加固建议:
打开jenkins页面,点击左侧的系统管理—>Configure Global Security,进入权限配置界面,确保允许账户注册和任何用户可以做任何事两个选项没有同时勾选。若使用了安全矩阵,确保anonymous用户不能具有read之外的权限

6.中危-启用CSRF保护

描述:

跨站点请求伪造(或CSRF/XSRF)是一种漏洞,它允许未经授权的第三方通过模仿另一个经过身份验证的用户对Web应用程序执行请求。在Jenkins环境的上下文中,CSRF攻击可能允许恶意actor删除项目,更改构建或修改Jenkins的系统配置。

加固建议

打开jenkins控制台,依次选择系统管理->全局安全配置,在CSRF Protection中勾选防止跨站点请求伪造复选框

身份鉴别

7.高危-选择合理的授权方式

描述

默认情况下,Jenkins支持以下的授权选项: 所有人都可以控制Jenkins。每个人都可以完全控制Jenkins,包括尚未登录的匿名用户。请勿将本设置用于本地测试Jenkins管理以外的任何其他设置。 传统模式。如果用户具有“admin”角色,他们将被授予对系统的完全控制权,否则该用户(包括匿名用户)将仅具有读访问权限。不要将本设置用于本地测试Jenkins管理以外的任何设置。 登录用户可以做任何事情。在这种模式下,每个登录的用户都可以完全控制Jenkins。根据高级选项,还可以允许或拒绝匿名用户读取Jenkins的访问权限。此模式有助于强制用户在执行操作之前登录,以便有用户操作的审计跟踪。 基于矩阵的安全性。该授权方案可以精确控制哪些用户和组能够在Jenkins环境中执行哪些操作。

加固建议:

打开jenkins控制台,依次选择系统管理->全局安全配置,在授权策略中选择安全矩阵项目矩阵授权进行管理,并根据实际项目需求配置授权策略.

8.高危-Jekins登录弱口令

描述:
若系统使用弱口令,存在极大的被恶意猜解入侵风险,需立即修复。

加固建议

  1. 浏览器输入Jenkins地址,打开Jenkins控制台
  2. 登录Jenkins服务web控制台,点击用户,选择要修改的用户
  3. 点击设置,进入设置界面
  4. 在密码处输入新的用户名密码,新密码应符合以下要求: 新口令应符合复杂性要求:
    ①长度8位以上
    ②包含以下四类字符中的三类字符:
  • 英文大写字母(A 到 Z)
  • 英文小写字母(a 到 z)
  • 10 个基本数字(0 到 9)
  • 非字母字符(例如 !、$、#、%、@、^、&)
    ③避免使用已公开的弱口令,如:abcd.1234 、admin@123等
zhangwenbo1229
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jenkins用户手册-10-管理之安全管理
极客栈
09-04 1398
安全管理 从企业内网的工作站到连接入开放网络的高性能服务器都可以使用jenkins。为了安全地支持这么广范围的安全和敏感配置的传播,jenkins提供了很多可供选择的配置选项,来授权,编辑,禁用各种安全特性。 对于jenkins的2.0版,很多安全选项是默认开启的,用来保证jenkins环境安全,除非管理员特意禁用特定的保护功能。 这一节将会介绍各种jenkins管理员可用的安全选项,解释提
jenkins安全相关
yeshen.org
06-04 712
背景是我们自己搭了一个jenkins,然后被安全组的同事发现安全漏洞。怎么发现的呢?
Jenkins未授权访问漏洞&命令执行
最新发布
2401_85014013的博客
05-17 464
进入Script Console之后是一个执行脚本的页面查询当前用户查看IP配置信息。
Jenkins安全安全矩阵和项目矩阵
m0_46829545的博客
09-04 507
Jenkins安全安全矩阵和项目矩阵
记一次Jenkins入侵攻击防范
极客栈
10-24 2053
#!/bin/bash threadCount=$(lscpu | grep 'CPU(s)' | grep -v ',' | awk '{print $2}' | head -n 1); hostHash=$(hostname -f | md5sum | cut -c1-8); echo "${hostHash} - ${threadCount}"; _curl () { read p...
安全加固----十、Jenkins服务安全加固
七天
07-07 771
文章目录一、Jenkins简介二、Jenkins访问控制三、Jenkins加固方案1、关注安全漏洞2、启用安全性设置3、配置NLP TCP端口4、启用访问控制5、选择合理的授权方式6、选用与认证和用户管理相关的插件7、启用CSRF保护 一、Jenkins简介 Jenkins早期版本的默认配置下没有安全检查。任何人都可以以匿名用户身份进入Jenkins,执行build操作。然而,对大多数Jenkins应用,尤其是暴露在互联网的应用,安全控制是非常重要的。从Jenkins 2.0开始,其默认配置中启用了许多
GitOps之应用安全发布模型实践.pptx
10-12
2. **基线管理**:每个应用拥有自己的Git仓库,每个分支对应一个特定的部署环境,如Preview、Staging或Production。这样可以确保环境的一致性和隔离性。 3. **权限与安全审批**:通过保护分支(Protected branch)...
藏经阁-GitOps之应用安全发布模型实践.pdf
08-28
2. **基线管理**:每个应用都有一个独立的Git仓库,每个仓库的分支对应不同的部署环境,如开发、预览、测试和生产环境。这样可以保证环境的一致性,同时便于版本控制和回滚。 3. **权限管理与安全审批**:通过设置...
业务安全与+DevSecOps+的最佳实践y240221.pptx
02-21
- 安全编码规范和基线加固。 - 持续集成和持续交付流程中的安全测试。 - 应用程序审计和漏洞扫描。 - 敏感信息管理。 #### 五、实施最佳实践项目 为了确保DevSecOps的有效实施,建议按照以下步骤进行: 1. **...
-Baseline-check-main.zip
11-17
2. **代码审核**:为了保证代码质量,基线检查通常会包含代码审核功能,通过静态代码分析工具,检查代码风格、潜在错误和安全漏洞。 3. **测试用例**:在基线检查中,测试用例是必不可少的,它们定义了项目达到基线...
svn 管理项目解决方案
03-24
- **持续集成(CI)**:如Jenkins、GitLab CI/CD,可以与Subversion结合实现自动化构建和测试。 - **问题跟踪系统**:如JIRA,可以与Subversion集成,关联代码变更和问题报告。 综上所述,svn作为版本控制工具,...
Jenkins自动构建所需360加固包
01-08
Mac版本360加固助手,包含Jenkins自动构建所需jar包。
Jenkins无workspace矩阵授权策略插件
11-09
很多公司对代码管理比较严格,不允许未授权查看代码,但Jenkins如果推广就涉及到workspace可以查看到代码的风险,为此本人对Jenkins中矩阵授权策略的插件进行了修改,将workspace永不授权,即使是超级管理员也无法看到workspace,彻底的将workspace显示功能从Jenkins上移除。
Jira自动化实践:基于Jenkins实现需求与代码基线关联
DevOps持续集成的博客
11-13 1872
1. Jira简介中文官网:https://www.atlassian.com/zh/software/jira1.1 Jira可以做什么?规划创建项目,用户需求和事务、规划 Sprint...
Jenkins——用户管理、授权策略配置以及Jenkins安全配置管理
xnxqwzy的博客
02-22 1251
Jenkins拥有良好的扩展性,如远程执行、接口调用等,但需要考虑到网络安全的因素,所以Jenkins将这些功能配置化,按需设置。
Jenkins03:Jenkins基础设置:全局安全性、管理用户
weixin_40612128的博客
03-20 450
一、配置全局安全性 1、点击系统管理 2、点击全局安全配置 3、添加admin 在授权策略中选择安全矩阵,添加用户admin 给admin添加管理员权限,点击保存 二、管理用户 1、选择管理用户 点击系统管理–>管理用户 2、新建一个用户 3、授权 给新建的用户tester01授权:除管理员以外的权限 4、使用tester01登录 左边就没有系统管理的权限了。 ...
Jenkins发布9月安全更新通告,披露多个安全漏洞,腾讯T-Sec Web应用防火墙已支持防御
qcloud_security的博客
09-07 417
尊敬的腾讯云用户,您好! 近日,腾讯安全团队监控到 Jenkins 发布了9月安全通告,里面包含了 14 个CVE漏洞(CVE-2020-2238,CVE-2020-2239,CVE-2020-2240,CVE-2020-2241,CVE-2020-2242,CVE-2020-2243,CVE-2020-2244,CVE-2020-2245,CVE-2020-2246,CVE-2020-2247,CVE-2020-2248,CVE-2020-2249,CVE-2020-2250,CVE-2020-2251
JenKins 安全配置管理
JinZcheng的博客
11-11 140
Jenkins拥有良好的扩展性,如远程执行、接口调用等,但需要考虑到网络安全的因素,所以Jenkins将这些功能配置化,按需设置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值