在 Windows 上使用 Bamboo 云代理时,系统会指示您拥有一个Bamboo具有默认已知密码的 Windows 用户:Atlassian1.
它清楚地表明该用户应配置为拒绝远程登录。
但是,它仍然是一个活跃的 Windows 用户,拥有相当多的权限。Bamboo 的服务器(云)在已知端口 - 26224 中与机器交互。通过此通道,它发送所有构建命令,从远程代理获取构建状态等。
是什么阻止了黑客扫描互联网,找到一个开放端口 26224 的主机并开始与 Bamboo 代理通信?代理如何确定它与合法的 Bamboo CI 服务器通信?
我这样问是为了完全确信没有可能的攻击媒介。
Bamboo的安全文档指出:
为 Bamboo 启用远程代理时,请注意以下安全隐患:
服务器和代理之间传递的数据不加密 - 这包括以下数据:
版本控制存储库的登录凭据
构建日志
构建工件
没有对代理或服务器进行身份验证——这可能会导致在您的系统上执行未经授权的操作,例如:
安装新远程代理的未授权方——版本控制存储库登录凭据可能被盗。
伪装成 Bamboo 服务器的未经授权方——未经授权的服务器可以将恶意代码传递给代理以运行。
- 有关详细信息,请参阅代理身份验证。
我们强烈建议您不要在任何可从公共或不受信任的网络访问的 Bamboo 实例上启用远程代理安装。创建远程代理默认禁用和启用远程代理支持。
对于面向公众的代理,Atlassian强烈建议使用 SSL 保护它们。请参阅保护您的远程代理,其中包含此说明:
此页面适用于远程代理而非弹性代理。弹性代理由 Bamboo 服务器自动保护,无需额外步骤。
除了 Elastic Piece,他们关于Elastic Bamboo Security的文档指出:
位于 EC2 中的代理和 Bamboo 服务器之间发送的所有流量都通过 SSL 加密隧道传输。隧道将从 Bamboo 服务器启动到 EC2 实例,这意味着您不需要允许任何入站连接到您的服务器。但是,您需要在隧道端口上允许来自服务器的出站流量 - 默认端口号是 26224。在 EC2 实例上,只需为入站流量打开隧道端口。