web-dev-qa-db-ja.com

Jenkins / Hudsonの暗号化されたパスワードストレージは「安全」ですか?

最近、Jenkins/Hudsonサーバーをセットアップする際に、パスワードを保存する必要があることが明らかになりました。 「暗号化された」パスワードがconfig.xmlに保存されているようです。秘密の連鎖がどこかで壊れているため、これがどのように安全であるかわかりません。

  • Jenkinsの暗号化されたパスワードは「安全」と見なすことができますか?
  • これは隠すことによる単なるセキュリティですか?

Jenkins1.425を使用していることを指定する必要があります。

passwordconfigurationhudsonpassword-management
6
Catskul

ローカルに保存されたキーを使用してAES128で暗号化されているようです。本質的にはあいまいな層にすぎないというのはまさにその通りです。概念的には、このような状況で利用できる唯一のオプションは、サービスの開始時に復号化キーとしてパスワードを入力するか、キーをどこかに保存することです。ローカル;良い類似物は、Webサーバー用の暗号化されたSSL証明書です。

hudson.util.Secretクラスのコード内のコメントは、このメソッドのセキュリティ制限を理解していることを明確にしています。

シークレットの偶発的な公開を回避するために、永続化された形式で暗号化を使用する栄光の文字列。暗号化はHudson.getSecretKey()に依存しているため、これは同じVMで実行されているコードに対する保護や、ローカルファイルシステムにアクセスできる攻撃者に対する保護を意味するものではないことに注意してください。

5
Shane Madden