《避免让持续集成服务器成为一个安全隐患!》要点:
本文介绍了避免让持续集成服务器成为一个安全隐患!,希望对您有用。如果有疑问,可以联系我们。
作者:顾宇 thoughtworks高级咨询师
背景
最近临时接手了一个客户测试环境和产品环境的维护工作.接手的客户资产里包含:代码库,生产环境主机,测试环境主机以及搭建在测试环境主机上的CI(基于Jenkins).这个CI可以用来部署测试环境和生产环境的应用.
不久,接到了客户的一个维护请求:把最新的生产环境数据同步到测试环境里.
这个维护工作需要通过SSH登录到测试环境主机上进行操作.测试主机是通过authorized_keys进行 SSH 认证的,因此没有用户名和密码.这样有两个好处:一方面无需生产环境用户名密码.一方面可以按需吊销不再用的客户端.这样可以避免密码泄露.所以我需要把自己的ssh public key交给管理员,让他把我的 key 加到可访问列表里.
悲剧的是,管理员告诉我他的 key 因为更换电脑的关系没有及时更新.所以,他也登录不上去了.而且之前所有的管理员的 key 都失效了.我手上只有CI的管理员的用户名和密码,于是一个邪恶的想法就诞生了:
既然 CI 可以执行脚本,那么我是否可以通过CI把我的key注入进去?
于是我用Execute Shell的Job变成了我的命令行,通过CI运行日志得知了宿主用户的文件目录信息.然后把自己的ssh public key加到了登录列表里(此处省略敏感信息):
sudo sh -c “cp ~/.ssh/authorized_keys ~/.ssh/authorized_keys.bak”
sudo sh -c “echo ‘{你的ssh public key}’ >> ~/.ssh/authorized_keys”
It works !
我成功的登录了机器,但这却暴露了一个问题:CI 有可能会成为一个安全隐患.
首先,CI 可以执行代码.这就意味着它有可能执行有害代码.
其次,CI 缺乏足够的用户鉴权,这很有可能导致未授权用户访问.
那么,如何构建一个更安全的CI服务器?
rootless原则
“神操纵着万物,你感觉得到他,但永远看不见他.” ——《圣经·希伯来书11:27》
在服务器的世界里,root用户就是神,具有至高的权力和力量.如果有人获得了”神力“,后果可能不堪设想.
无论是Web服务器,还是CI服务器.都是这个世界里的二等公民,权限和力量都应该受到约束.执行的时候应该“
此外,应该极力避免sudo的滥用,尤其是对那些从外部访问的用户.很多情况下,为了操作方便,很多用户都有sudo的权限.但这恰恰造成了低权限用户提升自己的访问权限进行有害操作.
在上述的故事里,因为没有对Jenkins的主机用户做有效的隔离,导致了我可以用sudo注入自己的key获得机器的访问权限.
沙盒隔离原则
因为CI会执行脚本或运行程序,而这些程序和脚本极有可能是不安全的.所以,CI任务应该在隔离的安全沙盒中执行,例如:受限的用户,受限的权限,受限的空间.
在上述的故事里,我就通过CI执行了一段不安全的脚本成功获得了登录主机的权限.
如果这些任务执行在隔离并受控的Docker容器里,那么会安全得多.
也可以考虑采用TravisCI这样的第三方CI服务来保证安全性.
备份和备份核查原则
在上述的故事里,因为缺乏有效的备份机制,导致了所有人都失去了对主机的访问.此外,我在修改authorized_keys的时候先进行了备份.这样,如果我注入失败,还可以还原.
这里的备份,不光是对配置,数据的备份,还有岗位的备份.
如果有备份的管理员,完全不会出现这种事情.
如果有备份QA服务器,完全可以不需要当前的QA服务器.
在做任何变更前,都应该做好备份以及还原的准备.因为任何变更都会带来“蝴蝶效应”.
但是,光备份是不够的.如果备份不能有效还原,那和没有备份没有什么区别.所以,要定时的进行备份恢复测试.确保备份在各种情况下可用.
多重要素身份验证原则
上述的CI是暴露在互联网中的,任何一个人访问到这个站点,通过一定程度的密码破解,就可以获得这个CI的访问控制权限.从而可以做出上述的操作.
所以,有了用户名和密码,并不一定是可信用户.所以需要通过更多的手段,诸如手机短信验证码或者第三方认证集成来验证用户的身份.
关键操作手动验证原则
试想一下,如果上述的例子我并没有服务器的访问权限.而是通过提交未经审查的代码自动运行测试脚本.实际上也会造成同样的效果.
有时候我们会为了方便,让CI自动触发测试.但是,恰恰是这种“方便”,却带来了额外的安全隐患.而这样的方便,不光方便了自己,也方便了恶意入侵者.
所以,不能为了方便而留下安全隐患.在关键操作上设置为手动操作,并通过一定的机制保证关键操作的可靠性才是最佳实践.
构建安全CI 的几个实践
采用Sibling的方式在Docker里运行CI任务.
账户密码管理统一采用LDAP认证,如果过期则从外部修改.
CI的登录权限和其它的认证方式(比如GItHub,Okta等)集成起来.并用组限制登录.
对于生产环境的CI,通过更加细粒度的权限限制来隔离一些危险操作.
官方的安全指南
不少CI软件的官方都提供了最佳实践以及安全指南帮助我们更好的构建CI服务器.请务必在构建CI前阅读并理解这些安全实践和措施,并遵照安全最佳实践构建CI服务器:
Jenkins最佳实践:https://wiki.jenkins-ci.org/display/JENKINS/Jenkins+Best+Practices
Jenkins官方安全指南:https://wiki.jenkins-ci.org/display/JENKINS/Securing+Jenkins
如果没有这些如果
上面提到了太多的如果.如果这些“如果”能发生在事前,这些问题就不会产生.CI本身是开发的最佳实践,但如果缺乏安全的意识,一味的追求方便和高效,则会带来很大的安全隐患.技通过一些简单而基础的措施和手段,我们就能大大的减少安全隐患.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。