任何有權存取 Linux 伺服器上執行的 Jenkins 的超級使用者都可以輕鬆地從 config.xml 檔案停用安全身份驗證;然後登入,也可以從控制台解密敏感密碼。
應用程式開發人員如何保護 Jenkins(或任何軟體)免受託管應用程式的伺服器管理員的侵害。
有什麼方法可以監視檔案的變更以防止超級用戶的攻擊嗎?
答案1
簡短的回答 - 你不能。他們可以存取控制台、實體磁碟等。
長答案:您需要限制管理員對這些電腦的存取、更細緻的策略、審核。這意味著什麼?您僅向簽署 NDA 的管理員授予 root 存取權限,您僅允許其中一些管理員透過 sudo 在電腦上執行某些操作,您記錄對遠端syslog電腦的所有存取權限。您限制安裝的內容。您可以使用auditd和審核文件存取auditctl。在 ext4 上,您可以使用以下命令使檔案不可變chattr +i <filename>
另一種選擇是使用非常精簡的作業系統,並且只有應用程序,沒有 SSH 或控制台存取權限。