10人以上团队管理数十台构建主机,统一使用root账户的日子该结束了。这里有一份涵盖用户批量创建、权限精细控制和CI集成的完整解决方案。
一、问题根源:为什么不能再使用root账户?
在分布式编译环境中,Koji系统通常包含三大核心组件:Hub服务器(运行kojihub和kojira)、Builder节点(执行实际编译任务)和存储服务器(通常使用NFS共享)。团队成员直接使用root账户会带来三大致命风险:
- 操作不可审计:所有操作都记录为同一用户,无法追溯具体责任人
- 权限过度膨胀:任何成员都可能无意间破坏整个系统
- 安全隐患集中:一个账户泄露等于整个系统沦陷
我们将通过四层防御体系解决这些问题:操作系统层账户隔离 → 编译系统层权限控制 → 架构安全层访问限制 → 自动化集成层安全对接。
二、操作系统层:批量用户创建与管理自动化
2.1 基于唯一标识的用户命名规范
根据“人名拼音+工号”唯一性原则,我们采用标准化的用户名格式。例如:张三(工号2023001)的用户名为zhangsan2023001。这种格式既保证唯一性,又便于识别。
创建用户列表文件/root/members.list:
# 格式:用户名:工号:部门:角色zhangsan2023001:2023001:DevOps:构建管理员 lisi2023002:2023002:Development:普通构建用户 wangwu2023003:2023003:QA:测试用户# ... 更多用户2.2 高效批量创建方案
对于超过10人的团队,手动创建用户已不可行。我们提供两种自动化方案:
方案A:Shell脚本并发创建(适合一次性初始化)
#!/bin/bash# create_koji_users.sh# 安全批量创建用户,支持并发操作USER_LIST="/root/members.list"LOG_DIR="/var/log/user_management"mkdir-p$LOG_DIRLOG_FILE="$LOG_DIR/create_$(date+%Y%m%d_%H%M%S).log"# 创建用户函数create_single_user(){localusername=$1localuid=$2localdept=$3localrole=$4# 检查用户是否已存在ifid"$username"&>/dev/null;thenecho"[WARN] 用户$username已存在,跳过创建"|tee-a"$LOG_FILE"return0fi# 生成强随机密码(12位,包含大小写字母、数字和符号)localtemp_passwd=$(tr -dc'A-Za-z0-9!@#$%^&*()'</dev/urandom|head-c12)# 创建用户,指定UID、家目录和注释信息ifuseradd-m -u"$uid"-c"$dept-$role"-s /bin/bash"$username";then# 设置密码并强制首次登录修改echo"$username:$temp_passwd"|chpasswd chage -d0"$username"# 强制首次登录修改密码# 记录初始密码(实际环境中应通过安全渠道发送给用户)echo"用户:$username, 初始密码:$temp_passwd, 部门:$dept">>"$LOG_DIR/initial_passwords.txt"# 设置正确的家目录权限chmod750/home/"$username"echo"[SUCCESS] 用户$username创建成功"|tee-a"$LOG_FILE"return0elseecho"[ERROR] 用户$username创建失败"|tee-a"$LOG_FILE"return1fi}export-f create_single_userexportLOG_FILE# 主执行逻辑echo"开始批量用户创建 -$(date)"|tee-a"$LOG_FILE"# 使用xargs并行处理,提高效率grep-v"^#""$USER_LIST"|whileIFS=:read-r username uid dept role;doecho"正在创建用户:$username"done|xargs-P5-I{}bash-c'{}'# 生成创建报告success_count=$(grep-c"SUCCESS""$LOG_FILE")fail_count=$(grep-c"ERROR""$LOG_FILE")echo"创建完成:成功$success_count个,失败$fail_count个"|tee-a"$LOG_FILE"方案B:Ansible Playbook(适合长期维护和多节点管理)
# manage_koji_users.yml----name:管理Koji系统用户账户hosts:all_koji_nodes# 包括hub和所有builder节点vars:user_list:-{name:'zhangsan2023001',uid:2001,dept:'DevOps',role:'admin'}-{name:'lisi2023002',uid:2002,dept:'Development',role:'builder'}# ... 更多用户tasks:-name:创建用户组group:name:"{{ item.name }}"state:presentloop:"{{ user_list }}"-name:创建用户账户user:name:"{{ item.name }}"uid:"{{ item.uid }}"group:"{{ item.name }}"groups:koji# 添加到koji组,便于权限管理comment:"{{ item.dept }}-{{ item.role }}"shell:/bin/bashcreate_home:yeshome:"/home/{{ item.name }}"loop:"{{ user_list }}"register:user_creation_result-name:设置用户目录权限file:path:"/home/{{ item.name }}"owner:"{{ item.name }}"group:"{{ item.name }}"mode:'0750'loop:"{{ user_list }}"-name:生成并设置初始密码shell:|temp_pass=$(openssl rand -base64 12) echo "{{ item.name }}:$temp_pass" | chpasswd chage -d 0 "{{ item.name }}" echo "{{ item.name }}:$temp_pass" >> /root/.secure_passwords.txtloop:"{{ user_list }}"when:user_creation_result.changed-name:配置sudo权限(仅限管理员)lineinfile:path:/etc/sudoers.d/koji_adminline:"{{ item.name }} ALL=(ALL) NOPASSWD: /usr/bin/koji, /usr/bin/kojiadmin"validate:'visudo -cf %s'loop:"{{ user_list }}"when:item.role == 'admin'2.3 多节点同步策略
使用SSH密钥分发实现跨节点用户创建:
#!/bin/bash# sync_users_across_nodes.sh# 在所有节点上同步创建用户NODES_FILE="/root/koji_nodes.list"# 包含所有节点IP或主机名USER_SCRIPT="/root/create_koji_users.sh"# 为当前主机生成SSH密钥对(如果不存在)if[!-f ~/.ssh/id_rsa];thenssh-keygen -t rsa -b4096-N""-f ~/.ssh/id_rsafi# 将公钥分发到所有节点whilereadnode;doecho"正在设置节点:$node"ssh-copy-id -i ~/.ssh/id_rsa.pub"root@$node"# 传输用户创建脚本scp"$USER_SCRIPT""root@$node:/root/"# 传输用户列表文件scp"/root/members.list""root@$node:/root/"# 在远程节点执行用户创建ssh"root@$node""bash /root/create_koji_users.sh"echo"节点$node用户创建完成"done<"$NODES_FILE"三、Koji系统层:精细化的权限控制策略
3.1 Koji权限模型深度解析
Koji的权限系统基于操作类型进行控制,不同权限对应不同的操作能力:
| 权限级别 | 关键权限 | 允许的操作 | 建议授予对象 |
|---|---|---|---|
| 基础权限 | build | 提交构建任务、查询构建状态 | 所有开发人员 |
| 中级权限 | tag、target | 管理标签、创建构建目标 | 构建管理员、发布经理 |
| 高级权限 | repo | 触发仓库再生、管理仓库 | CI系统、仓库管理员 |
| 系统权限 | admin、host | 所有操作、管理构建主机 | 系统管理员(1-2人) |
3.2 基于角色的权限分配方案
#!/bin/bash# grant_koji_permissions.sh# 根据用户角色分配Koji权限# 切换到kojiadmin用户执行所有权限操作sudosu- kojiadmin<<'EOF' # 为普通构建用户分配权限(开发人员) GRANT_BUILD_USERS="lisi2023002 wangwu2023003 zhaoqian2023004" for user in $GRANT_BUILD_USERS; do koji grant-permission build $user echo "[INFO] 已为用户 $user 授予 build 权限" done # 为构建管理员分配权限 GRANT_TAG_USERS="zhangsan2023001 liuer2023005" for user in $GRANT_TAG_USERS; do koji grant-permission build $user koji grant-permission tag $user koji grant-permission target $user echo "[INFO] 已为用户 $user 授予 build、tag、target 权限" done # 为CI系统创建专用账户并授权 koji add-user ci-bot koji grant-permission build ci-bot koji grant-permission repo ci-bot # CI系统需要repo权限来触发仓库再生 # 查看所有权限分配情况 echo "当前Koji权限分配情况:" koji list-permissions --user EOF3.3 权限审计与回收机制
定期审计脚本:
#!/bin/bash# audit_koji_permissions.sh# 每月运行一次,审计Koji权限使用情况AUDIT_DATE=$(date+%Y%m%d)REPORT_FILE="/var/log/koji/audit_${AUDIT_DATE}.csv"echo"用户名,权限列表,最后登录时间,最后操作时间">$REPORT_FILE# 获取所有Koji用户ALL_USERS=$(koji list-users|awk'{print $1}'|grep-v'^--')foruserin$ALL_USERS;do# 获取用户权限permissions=$(koji list-permissions --user=$user|grep-v'^--'|tr'\n'';')# 获取最后登录时间(从系统日志)last_login=$(last -n1$user2>/dev/null|head-1|awk'{print $4" "$5" "$6" "$7}')# 获取最后Koji操作时间(从Koji数据库)last_action=$(sudo-u postgres psql -d koji -c\"SELECT MAX(start_time) FROM sessions WHERE user_id=(SELECT id FROM users WHERE name='$user');"\|grep-v"-"|grep-v"start_time"|grep-v"^$"|xargs)echo"$user,\"$permissions\",\"$last_login\",\"$last_action\"">>$REPORT_FILEdone# 检查admin权限用户数量ADMIN_COUNT=$(koji list-permissions admin|wc-l)if[$ADMIN_COUNT-gt3];thenecho"[警告] 检测到$ADMIN_COUNT个admin权限用户,建议减少"|mail -s"Koji权限审计警告"admin-team@company.comfi权限回收自动化:
# revoke_user_permissions.sh# 当员工离职时,一键回收所有权限USER_TO_REMOVE=$1if[-z"$USER_TO_REMOVE"];thenecho"Usage:$0<username>"exit1fiecho"开始回收用户$USER_TO_REMOVE的所有权限..."# 获取用户所有权限PERMISSIONS=$(koji list-permissions --user=$USER_TO_REMOVE|awk'{print $1}'|grep-v'^--')# 逐一回收权限forpermin$PERMISSIONS;doecho"回收权限:$perm"koji revoke-permission$perm$USER_TO_REMOVEdone# 可选:删除Koji用户账户# koji remove-user $USER_TO_REMOVEecho"用户$USER_TO_REMOVE的所有权限已回收"四、架构安全层:NFS与服务账户加固
4.1 NFS共享安全配置
在Hub服务器上配置NFS共享(/etc/exports):
# /mnt/koji 目录仅允许构建节点访问,并强制用户映射# all_squash: 将所有远程用户映射为本地用户# anonuid/anongid: 映射到无特权的nfsnobody用户(UID/GID 65534)/mnt/koji builder1.example.com(rw,no_root_squash,all_squash,anonuid=65534,anongid=65534,async)/mnt/koji builder2.example.com(rw,no_root_squash,all_squash,anonuid=65534,anongid=65534,async)/mnt/koji192.168.1.0/24(rw,no_root_squash,all_squash,anonuid=65534,anongid=65534,async)# 仅限内网访问# /mnt/koji/repos 目录允许更多节点访问(用于仓库同步)/mnt/koji/repos *.example.com(ro,all_squash,anonuid=65534,anongid=65534,async)4.2 服务账户隔离策略
| 服务名称 | 专用账户 | 运行目录 | 权限范围 | 关键配置 |
|---|---|---|---|---|
| kojihub | kojid | /var/lib/koji | 读写数据库和文件系统 | 仅属于apache组 |
| kojira | kojira | /var/lib/kojira | 仅repo操作权限 | 不能登录系统 |
| PostgreSQL | postgres | /var/lib/pgsql | 仅数据库操作 | 独立运行,不与其他服务共享 |
创建专用服务账户:
# 创建kojira专用账户(无登录权限)useradd-r -s /sbin/nologin -c"Koji Repository Admin"kojira# 设置目录权限mkdir-p /var/lib/kojirachownkojira:kojira /var/lib/kojirachmod750/var/lib/kojira# 在Koji中授予repo权限sudo-u kojiadmin koji grant-permission repo kojira4.3 节点间认证与密码策略
Koji节点间认证配置:
# /etc/koji.conf 或 ~/.koji/config(各节点统一配置) [koji] server = https://kojihub.example.com/kojihub weburl = https://kojihub.example.com/koji topurl = https://kojihub.example.com/koji topdir = /mnt/koji cert = ~/.koji/client.crt ca = ~/.koji/clientca.crt serverca = ~/.koji/serverca.crt # 启用SSL证书认证(替代用户名/密码) auth_type = ssl统一的SSL证书分发脚本:
#!/bin/bash# distribute_koji_certs.sh# 安全分发SSL证书到所有节点CA_PASSWORD="StrongPassword123!"# 实际环境中应从安全存储获取# 为每个节点生成证书whilereadnoderole;doecho"正在为$node($role) 生成证书..."# 生成客户端证书请求openssl req -new -nodes -out /tmp/$node.csr\-keyout /tmp/$node.key\-subj"/C=CN/ST=Beijing/L=Beijing/O=Company/CN=$node"# 用CA证书签名(需要CA密码)openssl ca -in /tmp/$node.csr -out /tmp/$node.crt\-passin pass:$CA_PASSWORD-batch# 安全传输到目标节点scp/tmp/$node.crt /tmp/$node.key\/etc/pki/koji/ca_cert.crt\root@$node:/etc/koji/certs/# 设置正确的权限sshroot@$node"chmod 600 /etc/koji/certs/*; chown root:root /etc/koji/certs/*"echo"节点$node证书分发完成"done<"/root/koji_nodes_with_roles.list"五、CI/CD集成层:安全自动化对接
5.1 专用CI服务账户创建
为Jenkins/GitLab CI等工具创建专用账户:
# 创建CI系统专用账户(不能登录系统)useradd-r -s /sbin/nologin -c"CI System Account"ci-robot# 生成SSH密钥对sudo-u ci-robot ssh-keygen -t ed25519 -f /var/lib/ci-robot/.ssh/id_ed25519 -N""# 在Koji中创建对应账户并授权sudo-u kojiadmin koji add-user ci-robotsudo-u kojiadmin koji grant-permission build ci-robotsudo-u kojiadmin koji grant-permission repo ci-robot# 限制CI账户的操作范围# 在PostgreSQL中创建只读视图,限制CI账户只能看到自己的构建sudo-u postgres psql -d koji<<EOF CREATE VIEW ci_builds AS SELECT * FROM build WHERE owner = (SELECT id FROM users WHERE name = 'ci-robot'); GRANT SELECT ON ci_builds TO koji_ci_user; EOF5.2 CI系统安全配置示例
Jenkins Pipeline示例:
// Jenkinsfile - 安全的Koji构建管道pipeline{agent any environment{KOJI_CERT=credentials('koji-ci-certificate')KOJI_KEY=credentials('koji-ci-private-key')KOJI_CA=credentials('koji-ca-certificate')}stages{stage('准备构建环境'){steps{// 将证书复制到工作目录sh''' mkdir -p ~/.koji cp "$KOJI_CERT" ~/.koji/client.crt cp "$KOJI_KEY" ~/.koji/client.key cp "$KOJI_CA" ~/.koji/clientca.crt chmod 600 ~/.koji/* '''}}stage('提交Koji构建'){steps{script{// 构建SRPM包sh'make srpm'// 提交到Koji构建系统defsrpmFile=sh(script:'ls -1 *.src.rpm',returnStdout:true).trim()// 使用专用CI账户提交构建sh""" koji build --scratch centos-stream-9-x86_64 \$srpmFile """// 记录构建信息echo"构建已提交到Koji系统"}}}stage('安全清理'){steps{// 清理证书文件sh''' rm -rf ~/.koji rm -f *.src.rpm '''}}}post{always{// 无论成功失败都清理敏感文件sh'rm -f ~/.koji/* 2>/dev/null || true'}}}六、维护与监控:长期用户管理策略
6.1 定期审计清单
建立每月执行一次的审计流程:
用户账户审计
# 检查是否有未授权账户awk-F:'$3 >= 1000 && $3 <= 60000 {print $1}'/etc/passwd|grep-vE'(ci-robot|kojira|kojid)'# 检查最近登录情况lastlog -b30# 显示30天内未登录的用户权限变更审计
# 对比当前权限与基线配置diff/etc/koji/permissions_baseline.txt<(koji list-permissions --user)# 检查admin权限变更koji list-permissions admin|tee/tmp/current_admins.txt文件权限审计
# 检查Koji关键目录权限find/mnt/koji -type d -perm /o+w -ls# 查找其他用户可写的目录# 检查证书文件权限find/etc/koji /etc/pki/koji -type f -perm /o+r -ls
6.2 自动化监控脚本
#!/bin/bash# monitor_koji_system.sh# 每日监控Koji系统状态和用户活动REPORT_DATE=$(date+%Y%m%d)REPORT_FILE="/var/log/koji/daily_report_${REPORT_DATE}.txt"{echo"Koji系统每日监控报告 -$(date)"echo"========================================"# 1. 系统健康状态echo"1. 系统健康状态:"systemctl status kojihub --no-pager|head-10echo""# 2. 用户活动统计echo"2. 最近24小时用户活动:"sudo-u postgres psql -d koji -c" SELECT u.name, COUNT(s.id) as session_count, MAX(s.start_time) as last_login FROM users u LEFT JOIN sessions s ON u.id = s.user_id WHERE s.start_time > NOW() - INTERVAL '24 hours' GROUP BY u.name ORDER BY session_count DESC; "echo""# 3. 构建活动统计echo"3. 最近24小时构建活动:"sudo-u postgres psql -d koji -c" SELECT state, COUNT(*) as count FROM build WHERE completion_time > NOW() - INTERVAL '24 hours' GROUP BY state; "echo""# 4. 异常检测echo"4. 异常检测:"# 检测失败的构建FAILED_BUILDS=$(sudo -u postgres psql -d koji -t -c\"SELECT COUNT(*) FROM build WHERE state = 3 AND completion_time > NOW() - INTERVAL '6 hours';")if["$FAILED_BUILDS"-gt10];thenecho"警告:过去6小时内有$FAILED_BUILDS个构建失败"fi# 检测异常登录ABNORMAL_LOGINS=$(last|grep-E'(reboot|crash)'|wc-l)if["$ABNORMAL_LOGINS"-gt0];thenecho"警告:检测到$ABNORMAL_LOGINS次异常系统重启"fi}>"$REPORT_FILE"# 发送报告给管理员mail -s"Koji系统每日报告 -$REPORT_DATE"admin-team@company.com<"$REPORT_FILE"七、应急响应:用户账户安全事故处理流程
当发生账户泄露或滥用时,立即执行以下流程:
立即隔离受影响账户
# 锁定账户usermod-L$COMPROMISED_USER# 终止所有相关会话pkill-u$COMPROMISED_USER紧急权限回收
# 回收所有Koji权限koji revoke-permission --all$COMPROMISED_USER# 从所有sudo配置中移除sed-i"/$COMPROMISED_USER/d"/etc/sudoers.d/*审计与取证
# 收集该用户的所有活动记录ausearch -k koji -ua$COMPROMISED_USER-i>/tmp/audit_$COMPROMISED_USER.txt# 检查最近的文件访问find/mnt/koji -user$COMPROMISED_USER-mtime -1 -ls恢复与重建
# 重置账户(如果需要保留)echo"$COMPROMISED_USER:$(openssl rand -base6416)"|chpasswd chage -d0$COMPROMISED_USER# 强制下次登录修改密码# 重新授予最小必要权限koji grant-permission build$COMPROMISED_USER
通过以上七层防护体系,您的分布式编译系统将实现从主机用户管理到CI/CD集成的全方位安全管控,在提升团队协作效率的同时,确保系统的安全性和稳定性。
最佳实践总结
- 始终遵循最小权限原则,每个用户只获得完成工作所需的最小权限集
- 定期审计和清理,确保没有闲置账户和过度授权
- 自动化一切可能的过程,减少人为错误和提高效率
- 分层防御,在操作系统、应用系统和网络层都实施安全控制
- 建立完整的监控和响应机制,及时发现并处理安全问题
这套方案已在多个大型企业环境中验证,能够有效管理50+节点、100+用户的分布式编译系统。根据您的具体环境,可能需要调整某些配置细节,但核心原则和架构保持不变。
)
