Jenkins——用户管理、授权策略配置以及Jenkins安全配置管理
Jenkins拥有良好的扩展性,如远程执行、接口调用等,但需要考虑到网络安全的因素,所以Jenkins将这些功能配置化,按需设置。
这里写目录标题
- 一、Jenkins用户管理
-
* 1、进入系统管理界面
- 2、创建用户
- 3、编辑用户信息
- 4、编辑用户信息
- 5、删除用户信息
- 二、Jenkins授权策略配置
-
* 1、授权策略插件
- 2、安装插件:Role-based Authorization Strategy
- 3、管理角色
-
* a、全局角色 Global roles
- b、项目角色 Item roles
- c、节点角色 Node roles
- 4、分配角色
- 三、Jenkins安全配置管理
-
* 1、进入系统管理界面
- 2、安全配置介绍
- 3、安全配置选项详解
-
* 配置项:
- 认证 Authentication
- 标记格式器
- 代理
- 跨站请求伪造保护
- API Token
- SSH Server
一、Jenkins用户管理
Jenkins是多用户的系统
Jenkins能使用其他的插件让不同用户访问系统不同功能
用户能注册或者是管理员进行增删改查
1、进入系统管理界面
2、创建用户
3、编辑用户信息
4、编辑用户信息
5、删除用户信息
二、Jenkins授权策略配置
1、授权策略插件
不同用户对系统功能的需求不同
出于安全等考虑,关键的、重要的系统功能需限制部分用户的使用
出于方便性考虑,系统功能需要根据不同的用户而定制
2、安装插件:Role-based Authorization Strategy
3、管理角色
a、全局角色 Global roles
b、项目角色 Item roles
c、节点角色 Node roles
4、分配角色
三、Jenkins安全配置管理
1、进入系统管理界面
2、安全配置介绍
Jenkins拥有良好的扩展性,如远程执行、接口调用等,但需要考虑到网络安全的因素,所以Jenkins将这些功能配置化,按需设置。
3、安全配置选项详解
配置项:
认证(Authentication)
标记格式器
代理
跨站请求伪造保护(CSRF)
隐藏的安全警告
API Token
SSH Server
认证 Authentication
不要记住我:如果勾选,登录页不会出现保持登录状态的勾选框
安全域
Jenkins 专有用户数据库
![在这里插入图片描述](https://img-
blog.csdnimg.cn/48b017758b9341f98942971521a84c31.png)
![在这里插入图片描述](https://img-
blog.csdnimg.cn/0bdc428e8fd748e8978a88ce5d7e91a9.png)
用户量少的情况下,不建议开启此功能,直接由管理员去创建用户,分配权限即可。
Servlet 容器代理
None
授权策略
![在这里插入图片描述](https://img-
blog.csdnimg.cn/47ffc37e41ba486c8dd3fb5abe1bb475.png)
任何用户可以做任何事(没有任何限制)
登录用户可以做任何事
遗留模式
标记格式器
纯文本
![在这里插入图片描述](https://img-
blog.csdnimg.cn/de6d3162ba9b46d8b3ae88dc791547dc.png)
代理
![在这里插入图片描述](https://img-
blog.csdnimg.cn/8f9326f398e940309bac675417b50c42.png)
代理的 TCP 端口
指定端口(50000):jenkins对外开放的50000端口
随机选取
禁用
跨站请求伪造保护
Crumb Issuer:默认使用默认碎片生成器即可
启用代理兼容
![在这里插入图片描述](https://img-
blog.csdnimg.cn/de643dbd33404b6196c8ec783f3e69ff.png)
API Token
![在这里插入图片描述](https://img-
blog.csdnimg.cn/7aa2c37228034281a768166a23972da6.png)
为每个新创建的用户生成一个遗留的 API token (不建议)
允许用户手动创建一个遗留的 API token (不建议)
启用 API Token 使用统计(推荐)
SSH Server
![在这里插入图片描述](https://img-
blog.csdnimg.cn/32dafd07c3684e8da6a10fd757939e03.png)
指定端口
随机选取
禁用
学习网络安全技术的方法无非三种:
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
第三种就是去找培训。
接下来,我会教你零基础入门快速入门上手网络安全。
网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。
第一阶段:基础准备 4周~6周
这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
第二阶段:web渗透
学习基础 时间:1周 ~ 2周:
① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
配置渗透环境 时间:3周 ~ 4周:
① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
渗透实战操作 时间:约6周:
① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
以上就是入门阶段
第三阶段:进阶
已经入门并且找到工作之后又该怎么进阶?详情看下图
给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
## 最后
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。
干货主要有:
①1000+CTF历届题库(主流和经典的应该都有了)
②CTF技术文档(最全中文版)
③项目源码(四五十个有趣且经典的练手项目及源码)
④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)
⑤ 网络安全学习路线图(告别不入流的学习)
⑥ CTF/渗透测试工具镜像文件大全
⑦ 2023密码学/隐身术/PWN技术手册大全
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
扫码领取
更多推荐
所有评论(0)