jenkins插件Publish Over SSH因安全问题下架

最近用docker新搭建了一个jenkins，安装插件的时候发现publish over ssh找不到了，官方给出的解释是存在安全隐患于2022.01.12暂停分发，官方解释如下：https://www.jenkins.io/security/advisory/2022-01-12

之前文章介绍过通过publish over ssh插件推送jenkins编译好的项目到对应服务器，现在该插件无法使用了，只能寻找替代插件。

在程序猿bug解决圣地找到一篇咨询该问题的解决方案：https://stackoverflow.com/questions/70828203/which-plugins-could-replace-publish-over-ssh-from-jenkins，使用ssh插件（未安装之前在可选插件里叫ssh，安装之后在已安装里叫ssh plugin），不过该插件上一次版本更新也已经是3年前10个月了（截止2022.02.12）。

查找资料学习ssh插件的用法。。。。。。

搜索关键字jenkins ssh，你查到的99.999%资料都是关于publish over ssh的，垃圾。。。

于是搜索This plugin executes shell commands remotely using SSH protocol，找到一篇完整介绍通过ssh方式配置的文章：https://blog.51cto.com/wujianwei/2492430

一、安装ssh插件，如上图。

二、配置远程ssh连接服务器的账号密码凭据。（这里我们以root账号讲解，关于非root账号（或者说非最大权限的账号）我们后面单独介绍。）
　　Manage Jenkins（系统管理） —>Manage Credentials --> Stores scoped to Jenkins 下的权限域 --> 全局凭据 --> 点击左侧添加凭据按钮 --> 选择类型（Username with password 或者 SSH Username with private key）--> 填写账号密码（或private key）后确认添加。

 三、配置SSH服务器参数。

　　Manage Jenkins（系统管理） —>System Configuration（系统配置） --> SSH remote hosts --> 点击SSH sites下的新增按钮 --> 填写以下信息 --> 填写完后点击底部的保存（或应用）。

hostname：要ssh连接的服务器ip；

port：服务器端口；

Credentials：选择连接的账号；

下面的可以暂时不填，表示用默认值。

点击按钮Check connection，验证配置的以上参数是否正确。

 四、构建应用。

　　关于创建新任务本文就不介绍了，前面文章有介绍过，网上文章也不少。本次我们只说新增加的ssh方式。

　　在构建选项下增加构建步骤：Execute shell script on remote host using ssh

　　

　　填写ssh连接的远程服务器，和连接后的shell执行语句。我这里是连接到宿主机，然后把宿主机挂载的tomcat容器项目清理再重新从jenkins容器挂载的编译文件夹中复制新的。

　　

保存后执行即可成功~~

---

以上配置是假设你知道服务器root账号（或其他类似root权限账号）的基础上，，很多时候IT给我们的机器是通过堡垒机（即服务器管理系统）登录的，虽然登录的是root账号但是不给到root账号密码，这个时候可能需要我们自己创建账号，然后配置对应的参数到jenkins系统管理的ssh中。

关于在centos中创建账号，可以参考这篇文章：https://www.cnblogs.com/geoffreygao/p/12238231.html

一、添加新账号：

useradd 你的新账号；
#例如添加账户王小明：useradd wangxiaoming

二、添加密码：

passwd 你上面创建的新账号；
# 例如：passwd wangxiaoming

　　此时会让你输入密码，输入密码时不显示任何字符，不要以为卡住了，不要按删除键del，密码输好后按确认键enter，如果密码太简单安全性较低会提示你，不用管，继续就好，会让你再输入一遍密码确认。

三、设置权限：

　　此时的新账号只有查看权限， 如果你想复制（cp）文件、移动文件（mv）、删除文件（rm）都是没有权限的。

 　　

#切换账号，有的文章介绍中su后面加-，发现在centos中会有不正确提示，不需要加就能切换。
su wangxiaoming

#执行复制文件。非root账号前需要加sudo关键字。
sudo cp favicon.ico favicon.ico3

#提示输入密码验证后才能操作，此时输入密码提示没有再sudoers文件中存在权限。

　　根据前面参考文章要在/etc/sudoers中添加权限，而本身该文件是没有写入权限的，需要先修改该文件为可写入权限。而修改sudoers文件需要root账号操作。

# 注意要切换回root账号，因为我在堡垒机上没有root账号密码，所以是重新开启新shell窗口以root账号操作。

# 为sudoers添加可写权限
chomd -v u+w /etc/sudoers

# 编辑sudoers文件
vi /etc/sudoers

按Insert键进入编辑模式

# 在 sudoers 文件添加新用户信息到 ## Allow root to run any commands anywhere 下，修改后的效果为：
## Allow root to run any commands anywher
root   ALL=(ALL)    ALL
wangxiaoming    ALL=(ALL)    ALL

按Esc 后 输入 :wq 保存并退出

　　此时再执行sudo cp favicon.ico favicon.ico3，输入密码后复制文件成功。

四、去掉密码验证。

　　上面我们发现执行sudo cp语句后需要输入密码验证，但我们本意是要在jenkins中执行的，而jenkins中自动执行的过程中是无法输入密码的，所以会导致构建失败（大家可以去试下）。

　　那么我们是否可以设为不用输入密码就执行呢，答案是可以的。方法还是修改上面的sudoers文件，只不过最后的ALL变为NOPASSWD: ALL即可。

# 注意要切换回root账号，因为我在堡垒机上没有root账号密码，所以是重新开启新shell窗口以root账号操作。

# 编辑sudoers文件
vi /etc/sudoers

按Insert键进入编辑模式

# 在 sudoers 文件添加新用户信息到 ## Allow root to run any commands anywhere 下，修改后的效果为：
## Allow root to run any commands anywher
root   ALL=(ALL)    ALL
wangxiaoming    ALL=(ALL)    NOPASSWD: ALL

按Esc 后 输入 :wq 保存并退出

　　再执行sudo cp语句发现不需要输入密码验证了。

五、修改sudoers文件回不可写入模式。

　　前面我们将sudoers文件设为了可写入模式，此时记得重新将其权限设为不可写入哦，当然要用root账号操作~~

# 注意要切换回root账号，因为我在堡垒机上没有root账号密码，所以是重新开启新shell窗口以root账号操作。

#取消 sudoers 文件可写权限
chmod -v u-w /etc/sudoers

这样在jenkins中用非root账号执行shell便不需要再输入账号密码了。

---

最后，虽然本次方式暂时解决了没有publish over ssh的问题，但目前该方式仅适合两种情况：

1、ssh连接到远程服务器后在远程服务器执行构建操作，或在远程服务器直接获取已构建好的项目。

2、使用docker容器模式，而且jenkins容器和对应的服务器容器（比如tomcat）在同一个宿主机上，这样可以通过ssh连接到宿主机进行文件夹之间的增删移动复制操作。

我这次情况是2。

其他的情况可能不适用本文方式。

今天大佬给了一个新思路，说将两个服务器添加互信，然后不用插件方式，有私钥公钥后直接shell执行ssh登录。下一次我将用这种方式学习并记录一下。