2
比較的新鮮なインストール上の/ var/libに/ジェンキンスで見ると、私は怖い、よく、いくつかのファイルのパーミッションを確認しますJenkinsのホームディレクトリでファイルのパーミッションを混乱させるべきでしょうか?
-rw-r--r-- 1 jenkins jenkins 7285 Apr 29 13:29 config.xml
-rw-r--r-- 1 jenkins jenkins 4008 Apr 28 21:04 credentials.xml
-rw-r--r-- 1 jenkins jenkins 64 Apr 28 13:57 secret.key
と/ var/libに/ジェンキンス/秘密で:
-rw-r--r-- 1 jenkins jenkins 272 Apr 28 15:08 hudson.console.AnnotatedLargeText.consoleAnnotator
-rw-r--r-- 1 jenkins jenkins 32 Apr 28 15:08 hudson.model.Job.serverCookie
-rw-r--r-- 1 jenkins jenkins 272 Apr 28 14:25 hudson.util.Secret
-rw-r--r-- 1 jenkins jenkins 32 Apr 28 13:57 jenkins.model.Jenkins.crumbSalt
-rw-r--r-- 1 jenkins jenkins 48 Apr 28 14:25 jenkins.security.ApiTokenProperty.seed
-rw-r--r-- 1 jenkins jenkins 256 Apr 28 13:57 master.key
-rw-r--r-- 1 jenkins jenkins 272 Apr 28 13:57 org.jenkinsci.main.modules.instance_identity.InstanceIdentity.KEY
-rw-r--r-- 1 jenkins jenkins 5 Apr 29 13:29 slave-to-master-security-kill-switch
私は、これらのファイルを所有者のjenkinsと一緒にモード600に設定する必要があると考えていますが、私が編集的であるかどうかはわかりません。メンテナーがこれらのファイルをもっとロックダウンしていない理由はありますか?これらのファイルをそれほど価値のないものにする、他のよく保護されたマスターキーがありますか?
まともな管理者のみがアクセスできるCIサーバで、グループ/全読みが怖いのはなぜですか? –
@GeroldBroserこれは、絶縁物に関するものです。 Nginxは同じボックスで実行されており(リバースプロキシを実行している)、誰かがそれを悪用しようとすると、攻撃者は何かをwww-dataとして実行でき、そのプロセスはこれらのファイルをすべて読み取ることができます。 – smitelli
私は参照してください。ビルド結果を公開するだけの場合は、[Build Publisher Plugin](https://wiki.jenkins-ci.org/display/JENKINS/Build+Publisher+Plugin)を使用して、内部のJenkinsと視聴者のJenkinsを分離します。 –