我正在阅读this article,其中介绍了如何在Docker容器中设置Jenkins,以便Jenkins能够自己构建Docker镜像。虽然这种解决方案可行,但作者也指出了一些安全问题。
主要的安全问题在于Jenkins需要运行Docker命令,这需要在Jenkins容器内挂载Docker套接字(加上Jenkins需要sudo才能运行Docker命令)。因此,任何有权访问Jenkins Web界面的人都可以使用完全访问主机系统的权限来运行任何命令(通过运行Docker容器)。
因此,我想知道是否有人有一些想法可以使这个设置更加安全。直接在主机系统上运行Jenkins(而不是在Docker容器中)似乎对我来说并不更安全,因为Jenkins仍然需要执行Docker命令(带有sudo)来构建新的镜像,从而使Jenkins用户仍然能够启动任意的容器。使用防火墙可以限制Jenkins可以被访问的IP地址,但我希望还有其他的解决方案来减少安全风险。
编辑 我忘了提到Jenkins还应该能够在同一台机器上启动(新创建的)容器。
主要的安全问题在于Jenkins需要运行Docker命令,这需要在Jenkins容器内挂载Docker套接字(加上Jenkins需要sudo才能运行Docker命令)。因此,任何有权访问Jenkins Web界面的人都可以使用完全访问主机系统的权限来运行任何命令(通过运行Docker容器)。
因此,我想知道是否有人有一些想法可以使这个设置更加安全。直接在主机系统上运行Jenkins(而不是在Docker容器中)似乎对我来说并不更安全,因为Jenkins仍然需要执行Docker命令(带有sudo)来构建新的镜像,从而使Jenkins用户仍然能够启动任意的容器。使用防火墙可以限制Jenkins可以被访问的IP地址,但我希望还有其他的解决方案来减少安全风险。
编辑 我忘了提到Jenkins还应该能够在同一台机器上启动(新创建的)容器。