这似乎是一个显而易见的问题,但我已经四处寻找答案,却没有找到。以下是情况:
1. 我在公共互联网上运行Jenkins持续集成服务器,并由可信义工在Windows和Linux机器上运行附属程序。 2. 我们使用JNLP(Web start) doodad来启动附属程序以避免防火墙问题并设置/调试ssh。 3. 服务器设置了基于矩阵的安全性。
问题是,我找不到任何有关JNLP安全性如何工作的信息。如果授予了任何匿名读取权限,则世界上任何人都可以下载slave.jar并访问我的服务器上易于猜测的URLS中的jnlp文件,并作为从属程序连接。
我发现,如果吊销所有匿名访问权限,则jnlp文件被阻止,但slave.jar仍然可访问。
jnlp文件似乎没有什么特别安全的地方,除了一个长的十六进制数。这种设置是否安全或者我还需要做其他事情?
如果访客可以在不登录的情况下查看最新构建,那么这将很好,但是如果我授予匿名用户读取权限,任何人都可以访问jnlp文件。
1. 我在公共互联网上运行Jenkins持续集成服务器,并由可信义工在Windows和Linux机器上运行附属程序。 2. 我们使用JNLP(Web start) doodad来启动附属程序以避免防火墙问题并设置/调试ssh。 3. 服务器设置了基于矩阵的安全性。
问题是,我找不到任何有关JNLP安全性如何工作的信息。如果授予了任何匿名读取权限,则世界上任何人都可以下载slave.jar并访问我的服务器上易于猜测的URLS中的jnlp文件,并作为从属程序连接。
我发现,如果吊销所有匿名访问权限,则jnlp文件被阻止,但slave.jar仍然可访问。
jnlp文件似乎没有什么特别安全的地方,除了一个长的十六进制数。这种设置是否安全或者我还需要做其他事情?
如果访客可以在不登录的情况下查看最新构建,那么这将很好,但是如果我授予匿名用户读取权限,任何人都可以访问jnlp文件。