《避免讓持續(xù)集成服務(wù)器成為一個(gè)安全隱患！》要點(diǎn)：
本文介紹了避免讓持續(xù)集成服務(wù)器成為一個(gè)安全隱患！，希望對您有用。如果有疑問，可以聯(lián)系我們。

作者：顧宇 thoughtworks高級咨詢師

背景

最近臨時(shí)接手了一個(gè)客戶測試環(huán)境和產(chǎn)品環(huán)境的維護(hù)工作.接手的客戶資產(chǎn)里包含：代碼庫,生產(chǎn)環(huán)境主機(jī),測試環(huán)境主機(jī)以及搭建在測試環(huán)境主機(jī)上的CI(基于Jenkins).這個(gè)CI可以用來部署測試環(huán)境和生產(chǎn)環(huán)境的應(yīng)用.

不久,接到了客戶的一個(gè)維護(hù)請求：把最新的生產(chǎn)環(huán)境數(shù)據(jù)同步到測試環(huán)境里.

這個(gè)維護(hù)工作需要通過SSH登錄到測試環(huán)境主機(jī)上進(jìn)行操作.測試主機(jī)是通過authorized_keys進(jìn)行 SSH 認(rèn)證的,因此沒有用戶名和密碼.這樣有兩個(gè)好處：一方面無需生產(chǎn)環(huán)境用戶名密碼.一方面可以按需吊銷不再用的客戶端.這樣可以避免密碼泄露.所以我需要把自己的ssh public key交給管理員,讓他把我的 key 加到可訪問列表里.

悲劇的是,管理員告訴我他的 key 因?yàn)楦鼡Q電腦的關(guān)系沒有及時(shí)更新.所以,他也登錄不上去了.而且之前所有的管理員的 key 都失效了.我手上只有CI的管理員的用戶名和密碼,于是一個(gè)邪惡的想法就誕生了：

既然 CI 可以執(zhí)行腳本,那么我是否可以通過CI把我的key注入進(jìn)去?

于是我用Execute Shell的Job變成了我的命令行,通過CI運(yùn)行日志得知了宿主用戶的文件目錄信息.然后把自己的ssh public key加到了登錄列表里(此處省略敏感信息)：

sudo sh -c “cp ~/.ssh/authorized_keys ~/.ssh/authorized_keys.bak”

sudo sh -c “echo ‘{你的ssh public key}’ >> ~/.ssh/authorized_keys”

It works !

我成功的登錄了機(jī)器,但這卻暴露了一個(gè)問題：CI 有可能會成為一個(gè)安全隱患.

首先,CI 可以執(zhí)行代碼.這就意味著它有可能執(zhí)行有害代碼.

其次,CI 缺乏足夠的用戶鑒權(quán),這很有可能導(dǎo)致未授權(quán)用戶訪問.

那么,如何構(gòu)建一個(gè)更安全的CI服務(wù)器?

rootless原則

“神操縱著萬物,你感覺得到他,但永遠(yuǎn)看不見他.” ——《圣經(jīng)·希伯來書11:27》

在服務(wù)器的世界里,root用戶就是神,具有至高的權(quán)力和力量.如果有人獲得了”神力“,后果可能不堪設(shè)想.

無論是Web服務(wù)器,還是CI服務(wù)器.都是這個(gè)世界里的二等公民,權(quán)限和力量都應(yīng)該受到約束.執(zhí)行的時(shí)候應(yīng)該“

此外,應(yīng)該極力避免sudo的濫用,尤其是對那些從外部訪問的用戶.很多情況下,為了操作方便,很多用戶都有sudo的權(quán)限.但這恰恰造成了低權(quán)限用戶提升自己的訪問權(quán)限進(jìn)行有害操作.

在上述的故事里,因?yàn)闆]有對Jenkins的主機(jī)用戶做有效的隔離,導(dǎo)致了我可以用sudo注入自己的key獲得機(jī)器的訪問權(quán)限.

沙盒隔離原則

因?yàn)镃I會執(zhí)行腳本或運(yùn)行程序,而這些程序和腳本極有可能是不安全的.所以,CI任務(wù)應(yīng)該在隔離的安全沙盒中執(zhí)行,例如：受限的用戶,受限的權(quán)限,受限的空間.

在上述的故事里,我就通過CI執(zhí)行了一段不安全的腳本成功獲得了登錄主機(jī)的權(quán)限.

如果這些任務(wù)執(zhí)行在隔離并受控的Docker容器里,那么會安全得多.

也可以考慮采用TravisCI這樣的第三方CI服務(wù)來保證安全性.

備份和備份核查原則

在上述的故事里,因?yàn)槿狈τ行У膫浞輽C(jī)制,導(dǎo)致了所有人都失去了對主機(jī)的訪問.此外,我在修改authorized_keys的時(shí)候先進(jìn)行了備份.這樣,如果我注入失敗,還可以還原.

這里的備份,不光是對配置,數(shù)據(jù)的備份,還有崗位的備份.

如果有備份的管理員,完全不會出現(xiàn)這種事情.

如果有備份QA服務(wù)器,完全可以不需要當(dāng)前的QA服務(wù)器.

在做任何變更前,都應(yīng)該做好備份以及還原的準(zhǔn)備.因?yàn)槿魏巫兏紩怼昂?yīng)”.

但是,光備份是不夠的.如果備份不能有效還原,那和沒有備份沒有什么區(qū)別.所以,要定時(shí)的進(jìn)行備份恢復(fù)測試.確保備份在各種情況下可用.

多重要素身份驗(yàn)證原則

上述的CI是暴露在互聯(lián)網(wǎng)中的,任何一個(gè)人訪問到這個(gè)站點(diǎn),通過一定程度的密碼破解,就可以獲得這個(gè)CI的訪問控制權(quán)限.從而可以做出上述的操作.

所以,有了用戶名和密碼,并不一定是可信用戶.所以需要通過更多的手段,諸如手機(jī)短信驗(yàn)證碼或者第三方認(rèn)證集成來驗(yàn)證用戶的身份.

關(guān)鍵操作手動(dòng)驗(yàn)證原則

試想一下,如果上述的例子我并沒有服務(wù)器的訪問權(quán)限.而是通過提交未經(jīng)審查的代碼自動(dòng)運(yùn)行測試腳本.實(shí)際上也會造成同樣的效果.

有時(shí)候我們會為了方便,讓CI自動(dòng)觸發(fā)測試.但是,恰恰是這種“方便”,卻帶來了額外的安全隱患.而這樣的方便,不光方便了自己,也方便了惡意入侵者.

所以,不能為了方便而留下安全隱患.在關(guān)鍵操作上設(shè)置為手動(dòng)操作,并通過一定的機(jī)制保證關(guān)鍵操作的可靠性才是最佳實(shí)踐.

構(gòu)建安全CI 的幾個(gè)實(shí)踐

采用Sibling的方式在Docker里運(yùn)行CI任務(wù).

賬戶密碼管理統(tǒng)一采用LDAP認(rèn)證,如果過期則從外部修改.

CI的登錄權(quán)限和其它的認(rèn)證方式(比如GItHub,Okta等)集成起來.并用組限制登錄.

對于生產(chǎn)環(huán)境的CI,通過更加細(xì)粒度的權(quán)限限制來隔離一些危險(xiǎn)操作.

官方的安全指南

不少CI軟件的官方都提供了最佳實(shí)踐以及安全指南幫助我們更好的構(gòu)建CI服務(wù)器.請務(wù)必在構(gòu)建CI前閱讀并理解這些安全實(shí)踐和措施,并遵照安全最佳實(shí)踐構(gòu)建CI服務(wù)器：

Jenkins最佳實(shí)踐：https://wiki.jenkins-ci.org/display/JENKINS/Jenkins+Best+Practices

Jenkins官方安全指南：https://wiki.jenkins-ci.org/display/JENKINS/Securing+Jenkins

如果沒有這些如果

上面提到了太多的如果.如果這些“如果”能發(fā)生在事前,這些問題就不會產(chǎn)生.CI本身是開發(fā)的最佳實(shí)踐,但如果缺乏安全的意識,一味的追求方便和高效,則會帶來很大的安全隱患.技通過一些簡單而基礎(chǔ)的措施和手段,我們就能大大的減少安全隱患.

轉(zhuǎn)載請注明本頁網(wǎng)址：
http://www.fzlkiss.com/jiaocheng/2374.html