尋找在/ var/lib中/在一個相對新鮮的詹金斯安裝,我注意到是,還有一些文件權限,嚇人:我應該在Jenkins主目錄中弄亂文件權限嗎?
-rw-r--r-- 1 jenkins jenkins 7285 Apr 29 13:29 config.xml
-rw-r--r-- 1 jenkins jenkins 4008 Apr 28 21:04 credentials.xml
-rw-r--r-- 1 jenkins jenkins 64 Apr 28 13:57 secret.key
而且在/ var/lib中/詹金斯/祕密:
-rw-r--r-- 1 jenkins jenkins 272 Apr 28 15:08 hudson.console.AnnotatedLargeText.consoleAnnotator
-rw-r--r-- 1 jenkins jenkins 32 Apr 28 15:08 hudson.model.Job.serverCookie
-rw-r--r-- 1 jenkins jenkins 272 Apr 28 14:25 hudson.util.Secret
-rw-r--r-- 1 jenkins jenkins 32 Apr 28 13:57 jenkins.model.Jenkins.crumbSalt
-rw-r--r-- 1 jenkins jenkins 48 Apr 28 14:25 jenkins.security.ApiTokenProperty.seed
-rw-r--r-- 1 jenkins jenkins 256 Apr 28 13:57 master.key
-rw-r--r-- 1 jenkins jenkins 272 Apr 28 13:57 org.jenkinsci.main.modules.instance_identity.InstanceIdentity.KEY
-rw-r--r-- 1 jenkins jenkins 5 Apr 29 13:29 slave-to-master-security-kill-switch
我在想所有這些文件應該被設置爲模式600與所有者詹金斯,但我不知道如果我是偏執狂。維護人員還沒有將這些文件鎖定更多的原因嗎?是否有其他一些良好保護的主密鑰,使這些文件本身價值較低?
爲什麼羣組/所有讀取可怕的CI服務器上希望只有像樣的管理員才能訪問? –
@GeroldBroser更多關於絕緣的東西。 Nginx運行在同一個盒子上(做反向代理),如果有人成功利用它,攻擊者可以運行一些萬維網數據,並且該進程可以讀取所有這些文件。 – smitelli
我明白了。如果只是發佈構建結果,可以使用[Build Publisher Plugin](https://wiki.jenkins-ci.org/display/JENKINS/Build+Publisher+Plugin)將Jenkins內部與查看器的Jenkins分開。 –