Cómo almacenar datos confidenciales en Linux con Vault

Vaults es una herramienta de seguridad sofisticada que se utiliza para mantener seguros varios tipos de datos (claves de autenticación, información de inicio de sesión, etc.). En esta guía, le mostraremos cómo usarlo para almacenar y cifrar información básica. Sin embargo, comprenda que Vault también se puede utilizar para almacenar secretos complejos como contraseñas de AWS, claves de API, claves SSH e información de inicio de sesión de la base de datos. Para obtener más información sobre lo que puede hacer con la herramienta Vault, consulte su documentación .

Instalación de Vault en Linux

La aplicación Vault debe instalarse en el sistema antes de que podamos repasar cómo usarla para almacenar secretos en su sistema Linux. Para iniciar la instalación, abra una ventana de terminal presionando Ctrl + Alt + T  o  Ctrl + Shift + T  en el teclado. Después de eso, siga las instrucciones de instalación a continuación que correspondan con el sistema operativo Linux que usa actualmente.

Instrucciones binarias genéricas

La instalación binaria genérica es la mejor forma de hacerlo en la mayoría de las distribuciones de Linux, ya que no requiere ningún trabajo duro para ponerse en marcha. No hay necesidad de meterse con el tiempo de ejecución de Snap o dependencias como en Arch Linux AUR. Para iniciar la instalación del archivo binario genérico de Vault, comience descargando la última versión con el  comando wget a  continuación.

wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip

Una vez que haya terminado de descargar el archivo ZIP de Vault, es hora de usar el  comando descomprimir  para descomprimir el binario. Con el  comando descomprimir  , extraiga el archivo.

Nota: Unzip es una utilidad estándar que se utiliza para extraer archivos ZIP desde la línea de comandos de Linux. Si aún no tiene la aplicación Unzip instalada, diríjase a Pkgs.org y haga clic en el paquete "descomprimir" debajo de la distribución que usa para comenzar con ella.

descomprimir vault_1.3.1_linux_amd64.zip

Una vez que  se ejecuta el comando descomprimir  , aparecerá un binario llamado "bóveda" en su directorio de inicio. En este punto, debe mover este archivo binario al /usr/bin/directorio, para que se pueda llamar como cualquier otro programa del sistema.

sudo mv vault / usr / bin /

Cuando el archivo binario "vault" está en el /usr/bindirectorio /, podrá utilizar la aplicación ejecutando el siguiente comando en cualquier ventana de terminal.

bóveda

Instrucciones de Arch Linux AUR

La aplicación Vault está en Arch Linux AUR . Si está utilizando Arch Linux, puede hacer que la aplicación funcione ingresando los siguientes comandos a continuación.

sudo pacman -S git base-devel git clon https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S vault-bin

Configurar el servidor de Vault

La aplicación Vault es un servidor que se ejecuta para que pueda acceder a sus claves en una interfaz de usuario web amigable. También se puede ejecutar en una red y se puede acceder a las claves a través de Internet; sin embargo, en esta guía, solo cubriremos el servidor local.

Como Vault es un servidor, en Linux, debe ejecutarse desde una ventana de terminal. El problema es que ejecutar un servidor de terminal puede resultar confuso, especialmente si es nuevo en Linux. Para facilitar las cosas, vamos a crear un script que pueda ejecutar el servidor en el sistema sin necesidad de preocuparse.

Para crear el script, abra una ventana de terminal y use el comando táctil y cree un archivo en blanco llamado vault-server.sh.

toque vault-server.sh

Después de crear el vault-server.sharchivo, ábralo en el editor de texto Nano.

nano -w vault-server.sh

Pegue el código siguiente en el editor de texto Nano.

#!/bin/bash

vault server -dev > ~/vault-server-info.txt

Guardar las ediciones con  Ctrl + O , y salir con  Ctrl + X . Luego, actualice los permisos del archivo con el  comando chmod  .

sudo chmod + x vault-server.sh

Accediendo a Vault

Para acceder a Vault, abra una ventana de terminal y ejecute el archivo de secuencia de comandos con el siguiente comando.

./vault-server.sh

Al iniciar el script, verá una lectura del servidor en la terminal. Sin embargo, esta lectura cambia constantemente, por lo que también la hemos enviado a un archivo de texto en el directorio de inicio. Este archivo de texto es vault-server-info.txt.

Nota: cada vez que inicie Vault, vault-server-info.txt cambiará. Debe verificarlo y copiar el nuevo token o el inicio de sesión no funcionará.

Una vez que el servidor se esté ejecutando, abra el administrador de archivos de Linux, haga clic en "Inicio" vault-server-info.txt, abra y copie el código después de "Root Token:" en su portapapeles. Luego, inicie su navegador web favorito y vaya a la URL a continuación.

localhost:8200/ui/

Inicie sesión con la clave de token que copió vault-server-info.txt.

Detener el servidor

¿Necesitas detener el servidor de Vault? Haga clic en la ventana de terminal momento de ejecutar el script y pulse  Ctrl + C .

Usar Vault para almacenar secretos

Ahora que el servidor está en funcionamiento, siga las instrucciones paso a paso a continuación para aprender cómo mantener sus secretos a salvo en la Bóveda.

Paso 1: asegúrese de haber iniciado sesión en la interfaz de usuario web de Vault en el navegador web. Luego, haga clic en "Secretos" en la parte superior de la página.

Paso 2:  Ubique “Cubbyhole” y haga clic en él con el mouse. Cubbyhole es el motor secreto predeterminado que puede usar para datos arbitrarios (contraseñas, información personal, códigos de acceso, etc.).

Paso 3: Dentro de Cubbyhole, verá un mensaje que dice: "Aún no hay secretos en este backend". Busque el botón "Crear secreto" y haga clic en él con el mouse.

Paso 4:  Al hacer clic en "Crear secreto", aparecerá una ventana emergente. En la ventana emergente, busque "Ruta de este secreto" y complételo para describir el secreto. Por ejemplo, para almacenar un "secreto" que contenga la contraseña de su servidor FTP, debe escribir "Contraseña FTP" en el cuadro de ruta.

Paso 5: siguiendo la ruta, busque "Datos secretos". Desde aquí, busque "clave". En el cuadro de la clave, ingrese una referencia al secreto que le gustaría almacenar.

Por ejemplo, si está almacenando la contraseña de su servidor FTP, puede ingresar el nombre de usuario del servidor en "clave". Si es una nota, puede escribir "nota n. ° 1", etc.

Paso 6:  Busque "valor" e ingrese el texto que desea mantener en secreto. Una vez más, si, por ejemplo, se trata de una contraseña (como una contraseña de servidor FTP), introduzca la contraseña en el cuadro "valor". Alternativamente, complete su nota, clave API o cualquier otra cosa que desee guardar como secreto.

Una vez que haya completado todos los campos, haga clic en "Guardar" para guardar el secreto en la Bóveda. Para acceder a sus secretos guardados, asegúrese de que el servidor de Vault esté funcionando, inicie sesión en la interfaz de usuario web y haga clic en "Cubbyhole".