Jenkins专有用户数据库加密算法简析

最新推荐文章于 2024-05-26 09:44:57 发布
最新推荐文章于 2024-05-26 09:44:57 发布
阅读量181 收藏
点赞数
文章标签: 运维 数据库 java
原文链接:https://my.oschina.net/learnbo/blog/758493
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Jenkins访问控制分为:安全域(即认证)与授权策略。

其中,安全域可以采用三种形式,分别为:Jenkins专有用户数据库、LDAP、Servlet容器代理。

Jenkins专有用户的数据信息存放位置: <JENKINS_HOME> /users/

每个用户的相关信息存放在config.xml文件中: <JENKINS_HOME>/users/ <user>/config.xml

在config.xml文件中 passwordHash节点可以看到用户名加密后的密文哈希值

那么,它是用何种加密方式加密的呢?可否解密密文得到明文呢?

在 github上查看其源码,通过关键字 #jbcrypt搜索定位到HudsonPrivateSecurityRealm.java这个文件

HudsonPrivateSecurityRealm.Java详细路径是:jenkins/core/src/main/java/hudson/security/HudsonPrivateSecurityRealm.java

通过分析该源码得知:

1、密文的格式为:salt: encPass,其中以#jbcrypt表示salt作为数据头

2、明文通过jbcrypt算法得到密文 encPass

关于jbcrypt:

jbcrypt是bcrypt加密工具的java实现。

它的API非常简单,DEMO如下,在HudsonPrivateSecurityRealm.java中可以看到加密和校验时使用了如下API:

 
  1. // Hash a password for the first time   
  2. String hashed = BCrypt.hashpw(password, BCrypt.gensalt());   
  3.  
  4. // gensalt's log_rounds parameter determines the complexity the work factor is 2**log_rounds, and the default is 10   
  5. String hashed = BCrypt.hashpw(password, BCrypt.gensalt(12));   
  6.  
  7. // Check that an unencrypted password matches one that has previously been hashed   
  8. if (BCrypt.checkpw(candidate, hashed))   
  9. System.out.println("It matches");   
  10. else   
  11. System.out.println("It does not match");   

经验证,用jbcrypt对同一个明文加密后因为salt一般不同,加密后的密文一般不同

关于bcrypt:

1、bcrypt是不可逆的加密算法,无法通过解密密文得到明文。

2、bcrypt和其他对称或非对称加密方式不同的是,不是直接解密得到明文,也不是二次加密比较密文,而是把明文和存储的密文一块运算得到另一个密文,如果这两个密文相同则验证成功。

综上,Jenkins专有用户数据库使用了jbcrypt加密,jbcrypt加密是不可逆的,而且对于同一个明文的加密结果一般不同。

结束语

免费学习更多精品课程,登录乐搏学院官网http://h.learnbo.cn/

原创作者:donhui来源:donhui的博客

转载于:https://my.oschina.net/learnbo/blog/758493

weixin_34163741
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Jenkins-Traub算法的多项式根:使用Jenkins-Traub算法查找多项式根。-matlab开发
05-31
使用 Jenkins-Traub 算法求多项式根。 mex 函数使用 ACM 算法 419 中的 CPOLY 算法处理具有复系数的多项式,使用 ACM 算法 493 中的 RPOLY 算法处理具有实数系数的多项式。 该算法按幂次降序计算多项式的所有零,这些多项式的系数是矢量的元素。 系数中的前导零被丢弃。
jenkins-credentials-decryptor:用于转储Jenkins凭证的命令行工具
05-18
詹金斯凭证解密器 用于解密和转储Jenkins凭证的命令行工具。 这是怎么回事 Jenkins将加密的凭据存储在credentials.xml文件或文件夹下的config.xml 。 要解密它们,您需要master.key和hudson.util.Secret文件。 所有文件都位于Jenkins主目录中: $JENKINS_HOME/credentials.xml $JENKINS_HOME/secrets/master.key $JENKINS_HOME/secrets/hudson.util.Secret $JENKINS_HOME/jobs/example-folder/config.xml - Possible location 兼容性 我已经在Jenkins 1.625.1和2.141上进行了测试 使用二进制文件运行 苹果电脑: brew install hoto/r
简析 Jenkins 专有用户数据库加密算法
weixin_34082789的博客
04-19 725
认识Jenkins专有用户数据库 Jenkins 访问控制分为:安全域(即认证)与授权策略。 其中,安全域可以采用三种形式,分别为:Jenkins 专有用户数据库、LDAP、Servlet 容器代理。 在哪里看到加密后的用户密码信息? Jenkins 专有用户的数据信息存放位置:JENKINS_HOME/users/$user/config.xml 在 config.xml 文件中的 passw...
Jenkins密钥解密利器:jenkins-decrypt
最新发布
gitblog_00002的博客
05-26 510
Jenkins密钥解密利器:jenkins-decrypt jenkins-decryptCredentials dumper for Jenkins项目地址:https://gitcode.com/gh_mirrors/je/jenkins-decrypt 项目介绍 在持续集成和持续部署(CI/CD)的领域中,Jenkins以其强大的灵活性和可扩展性备受青睐。然而,在处理敏感信息如密码、API...
[记录]从jenkins配置文件中解密密码
qq_27156945的博客
08-18 7027
jenkins的credentials.xml文件中存储了很多账号,但是里面的密码都是经过加密处理的,密码格式都是下面这种 {AQAAABAAAAAgQI+cpXwSulM5zcFv14L5eODWtRDiP1HBCY/zg8H3kTDE4swuJ+j5DiVg251XDjq+} 最近有个账号的密码忘记了,但是很久之前在jenkins里面配置过的,所以想通过解密的方式去获取之前的密码。 网上找资料发现,jenkins的密码是使用hudson.util.Secret.fromString("明文密码").g
JenkinsTraub:Jenkins Traub多项式求根算法的实现
05-14
杰维斯·穆恩迪数值算法与复杂性Jenkins-Traub算法2013年5月 介绍 该项目包含提供Jenkin-Traub算法实现的代码。 该算法比牛顿法(具有2阶,即二次收敛)的算法更快,可以找到多项式的根。 它可以处理复杂的系数和根...
jenkins 配置用户角色权限的实现方法
01-10
jenkins 配置用户角色权限需要安装插件 Role Strategy Plugin 1.安装 Role Strategy Plugin 插件 下载地址:https://updates.jenkins-ci.org/download/plugins/role-strategy/  打开jenkins 系统管理–>管理插件...
Jenkins用户手册
10-16
非常不错的文档,可以值得大家下载认真的研读一下,非常有利用价值的的一本书,希望大家都会喜欢上。内容就是好,内容就是棒,对于初学jenkins的小白非常实用,原汁原味的产品线。
Jenkins 用户手册.pdf
09-18
Jenkins用户手册详细介绍了Jenkins的安装、配置、使用、以及高级功能。它通过各种指南帮助用户掌握如何创建和管理持续集成的流水线,包括如何使用Docker容器技术、如何通过Blue Ocean插件简化流水线的创建和监控、...
jenkins忘记密码解决办法
徐同保的专栏
09-28 225
Jenkins 任意文件读取(CVE-2024-23897)+后台用户密码提取哈希破解+反弹Shell 一条龙
黑剑
03-05 5066
本文将深入研究一项涉及Jenkins的安全漏洞(CVE-2024–23897),将在实验室中介绍这些概念,这些技能对于渗透测试期间有效管理输出至关重要,而在本次漏洞利用中,更显得尤为关键。本文还涉及Jenkins凭证管理,针对Jenkins部署,指导参与者如何查找存储的用户和密码信息。更加刺激的是,我们将引导参与者使用Hashcat破解这些凭据,进一步揭露其中的安全挑战。实验的一大亮点是反向Shell测试,要求学员使用Jenkins内置的Groovy脚本控制台建立反向Shell。
jBCrypt来加密密码保证密码安全
qq_33293753的博客
05-10 698
官网http://www.mindrot.org/projects/jBCrypt/ 使用方法 <dependency> <groupId>org.mindrot</groupId> <artifactId>jbcrypt</artifactId> <version>0.4</version&g...
Jenkins 凭据密码忘记获取凭据密码
小单的博客专栏
12-15 2414
Jenkins 中添加的凭据密码是加密的,忘记后无法直接肉眼可视化查看原始密码。
Jenkins忘记密码解决方案
dreams_dream的博客
01-03 3085
Jenkins忘记密码解决方案
BCrypt - JBCrypt:方便、快捷的密码管理工具类
jiuba_wb的博客
05-07 1953
BCrypt - JBCrypt:方便、快捷的密码管理工具类。一个开箱即用的好工具。
jenkins脚本加密账号密码
a910196454的博客
11-25 1438
jenkins脚本中我们可能会需要进行登入操作,比如使用docker去pull或者push镜像。docker login命令中如何不出现明文。 举例pipeline脚本中需要通过账号密码登入docker库xxxxxxx 。 1、在jenkins中新建一个类型为Username with password的凭据名称为 xxxxxxxxxxxxx 2、流水线pipiline脚本片段 withCredentials([usernamePassword(credentialsId: 'xxxxxxxxxxx
Jenkins进阶系列之——11修改Jenkins用户的密码
denglei3072的博客
12-02 658
2014-12-08:已不再担任SCM和CI的职位,Jenkins系列的文章如无必要不会再维护。 说明:本方法仅适用于jdk6+、tomcat6+和Jenkins专有用户数据库Jenkins! 很多童鞋在使用jenkins的时候忘记密码了,然后各种蛋疼。最近闲着无事,折腾了下。好了,闲话少扯。 Jenkins专有用户的数据存放在JENKINS_HOME/users...
jenkins备份数据库
07-29
您可以使用Jenkins进行数据库备份,具体步骤如下: 1. 首先,确保您已经在Jenkins上安装了相应的插件,如Database plugin或者MySQL Database Plugin等,这些插件可以帮助您与数据库进行交互。 2. 在Jenkins上创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值