Linux 서버에서 실행되는 Jenkins에 액세스할 수 있는 슈퍼 사용자는 config.xml 파일에서 보안 인증을 쉽게 비활성화할 수 있습니다. 그런 다음 로그인하면 콘솔에서 중요한 비밀번호를 해독할 수도 있습니다.
애플리케이션 개발자는 애플리케이션이 호스팅되는 서버 관리자로부터 Jenkins(또는 모든 소프트웨어)를 어떻게 보호할 수 있습니까?
슈퍼 사용자로부터 보호하기 위해 파일 변경 사항을 모니터링할 수 있는 방법이 있습니까?
답변1
짧은 대답 - 할 수 없습니다. 콘솔, 물리적 디스크 등에 액세스할 수 있습니다.
긴 답변: 해당 시스템에 대한 관리자의 액세스를 제한하고, 보다 세부적인 정책과 감사를 수행해야 합니다. 이게 무슨 뜻이야? NDA에 서명한 관리자에게만 루트 액세스 권한을 부여하고, 그 중 일부에게 sudo를 통해 시스템에서 특정 작업만 허용하고, 원격 syslog시스템에 대한 모든 액세스를 기록합니다. 설치된 것을 제한합니다. auditd및 를 사용하여 파일 액세스를 감사할 수 있습니다 auditctl. ext4에서는 다음을 사용하여 파일을 불변으로 만들 수 있습니다.chattr +i <filename>
또 다른 대안은 매우 간결하고 애플리케이션만 있고 SSH나 콘솔 액세스는 없는 OS를 사용하는 것입니다.