Shell Hudson后期构建步骤安全问题

Hudson作业可以配置为具有生成后步骤，该步骤可以作为一个选项执行shell命令，有人可以意外或故意清除Hudson主目录 只需运行rm命令，就可以获得主目录的特定权限集

---

这将阻止这种情况

在Linux上，您可能会以“Hudson”用户的身份运行Hudson进程。使用chown和chmod的组合，您可以设置hudson应用程序服务器目录上的权限，以便hudson用户只能读取hudson应用程序服务器目录

默认情况下，Hudson将其所有文件存储存储在/var/lib/jenkins中（如果您使用的是.deb包）

---

因此，基本上，确保hudson用户具有该目录的递归写访问权限，允许hudson只读访问其他hudson安装文件，并且不允许访问任何其他文件

你在《雄猫》里演哈德逊吗？我现在给出一个简短的答案，一旦我知道了你的容器，我可能需要更新它。我在weblogic 10.3.5 container上运行它。我主要关心的是Hudson Home Directory，Hudson经常向它写入，无论是新作业还是任何配置更改。我认为执行Shell步骤不够聪明，无法检测rm命令。如果您以细粒度的方式限制hudson group，您将不会有问题。