jenkins插件Publish Over SSH因安全问题下架
最近用docker新搭建了一个jenkins,安装插件的时候发现publish over ssh找不到了,官方给出的解释是存在安全隐患于2022.01.12暂停分发,官方解释如下://www.jenkins.io/security/advisory/2022-01-12
之前文章介绍过通过publish over ssh插件推送jenkins编译好的项目到对应服务器,现在该插件无法使用了,只能寻找替代插件。
在程序猿bug解决圣地找到一篇咨询该问题的解决方案://stackoverflow.com/questions/70828203/which-plugins-could-replace-publish-over-ssh-from-jenkins,使用ssh插件(未安装之前在可选插件里叫ssh,安装之后在已安装里叫ssh plugin),不过该插件上一次版本更新也已经是3年前10个月了(截止2022.02.12)。
查找资料学习ssh插件的用法。。。。。。
搜索关键字jenkins ssh,你查到的99.999%资料都是关于publish over ssh的,垃圾。。。
于是搜索This plugin executes shell commands remotely using SSH protocol,找到一篇完整介绍通过ssh方式配置的文章://blog.51cto.com/wujianwei/2492430
一、安装ssh插件,如上图。
二、配置远程ssh连接服务器的账号密码凭据。(这里我们以root账号讲解,关于非root账号(或者说非最大权限的账号)我们后面单独介绍。)
Manage Jenkins(系统管理) —>Manage Credentials –> Stores scoped to Jenkins 下的权限域 –> 全局凭据 –> 点击左侧添加凭据按钮 –> 选择类型(Username with password 或者 SSH Username with private key)–> 填写账号密码(或private key)后确认添加。
三、配置SSH服务器参数。
Manage Jenkins(系统管理) —>System Configuration(系统配置) –> SSH remote hosts –> 点击SSH sites下的新增按钮 –> 填写以下信息 –> 填写完后点击底部的保存(或应用)。
hostname:要ssh连接的服务器ip;
port:服务器端口;
Credentials:选择连接的账号;
下面的可以暂时不填,表示用默认值。
点击按钮Check connection,验证配置的以上参数是否正确。
四、构建应用。
关于创建新任务本文就不介绍了,前面文章有介绍过,网上文章也不少。本次我们只说新增加的ssh方式。
在构建选项下增加构建步骤:Execute shell script on remote host using ssh
填写ssh连接的远程服务器,和连接后的shell执行语句。我这里是连接到宿主机,然后把宿主机挂载的tomcat容器项目清理再重新从jenkins容器挂载的编译文件夹中复制新的。
保存后执行即可成功~~
以上配置是假设你知道服务器root账号(或其他类似root权限账号)的基础上,,很多时候IT给我们的机器是通过堡垒机(即服务器管理系统)登录的,虽然登录的是root账号但是不给到root账号密码,这个时候可能需要我们自己创建账号,然后配置对应的参数到jenkins系统管理的ssh中。
关于在centos中创建账号,可以参考这篇文章://www.cnblogs.com/geoffreygao/p/12238231.html
一、添加新账号:
useradd 你的新账号;
#例如添加账户王小明:useradd wangxiaoming
二、添加密码:
passwd 你上面创建的新账号; # 例如:passwd wangxiaoming
此时会让你输入密码,输入密码时不显示任何字符,不要以为卡住了,不要按删除键del,密码输好后按确认键enter,如果密码太简单安全性较低会提示你,不用管,继续就好,会让你再输入一遍密码确认。
三、设置权限:
此时的新账号只有查看权限, 如果你想复制(cp)文件、移动文件(mv)、删除文件(rm)都是没有权限的。
#切换账号,有的文章介绍中su后面加-,发现在centos中会有不正确提示,不需要加就能切换。 su wangxiaoming #执行复制文件。非root账号前需要加sudo关键字。 sudo cp favicon.ico favicon.ico3
#提示输入密码验证后才能操作,此时输入密码提示没有再sudoers文件中存在权限。
根据前面参考文章要在/etc/sudoers中添加权限,而本身该文件是没有写入权限的,需要先修改该文件为可写入权限。而修改sudoers文件需要root账号操作。
# 注意要切换回root账号,因为我在堡垒机上没有root账号密码,所以是重新开启新shell窗口以root账号操作。
# 为sudoers添加可写权限 chomd -v u+w /etc/sudoers
# 编辑sudoers文件 vi /etc/sudoers 按Insert键进入编辑模式 # 在 sudoers 文件添加新用户信息到 ## Allow root to run any commands anywhere 下,修改后的效果为: ## Allow root to run any commands anywher root ALL=(ALL) ALL wangxiaoming ALL=(ALL) ALL
按Esc 后 输入 :wq 保存并退出
此时再执行sudo cp favicon.ico favicon.ico3,输入密码后复制文件成功。
四、去掉密码验证。
上面我们发现执行sudo cp语句后需要输入密码验证,但我们本意是要在jenkins中执行的,而jenkins中自动执行的过程中是无法输入密码的,所以会导致构建失败(大家可以去试下)。
那么我们是否可以设为不用输入密码就执行呢,答案是可以的。方法还是修改上面的sudoers文件,只不过最后的ALL变为NOPASSWD: ALL即可。
# 注意要切换回root账号,因为我在堡垒机上没有root账号密码,所以是重新开启新shell窗口以root账号操作。
# 编辑sudoers文件 vi /etc/sudoers 按Insert键进入编辑模式 # 在 sudoers 文件添加新用户信息到 ## Allow root to run any commands anywhere 下,修改后的效果为: ## Allow root to run any commands anywher root ALL=(ALL) ALL wangxiaoming ALL=(ALL) NOPASSWD: ALL 按Esc 后 输入 :wq 保存并退出
再执行sudo cp语句发现不需要输入密码验证了。
五、修改sudoers文件回不可写入模式。
前面我们将sudoers文件设为了可写入模式,此时记得重新将其权限设为不可写入哦,当然要用root账号操作~~
# 注意要切换回root账号,因为我在堡垒机上没有root账号密码,所以是重新开启新shell窗口以root账号操作。 #取消 sudoers 文件可写权限 chmod -v u-w /etc/sudoers
这样在jenkins中用非root账号执行shell便不需要再输入账号密码了。
最后,虽然本次方式暂时解决了没有publish over ssh的问题,但目前该方式仅适合两种情况:
1、ssh连接到远程服务器后在远程服务器执行构建操作,或在远程服务器直接获取已构建好的项目。
2、使用docker容器模式,而且jenkins容器和对应的服务器容器(比如tomcat)在同一个宿主机上,这样可以通过ssh连接到宿主机进行文件夹之间的增删移动复制操作。
我这次情况是2。
其他的情况可能不适用本文方式。
今天大佬给了一个新思路,说将两个服务器添加互信,然后不用插件方式,有私钥公钥后直接shell执行ssh登录。下一次我将用这种方式学习并记录一下。
