Comment stocker des données sensibles sous Linux avec Vault

Vaults est un outil de sécurité sophistiqué utilisé pour protéger divers types de données (clés d'authentification, informations de connexion, etc.). Dans ce guide, nous allons vous montrer comment l'utiliser pour stocker et crypter des informations de base. Cependant, sachez que Vault peut également être utilisé pour stocker des secrets complexes tels que des mots de passe AWS, des clés API, des clés SSH et des informations de connexion à la base de données. Pour plus d'informations sur ce que vous pouvez faire avec l'outil Vault, veuillez consulter leur documentation .

Installation de Vault sur Linux

L'application Vault doit être installée sur le système avant que nous puissions expliquer comment l'utiliser pour stocker des secrets sur votre système Linux. Pour démarrer l'installation, ouvrez une fenêtre de terminal en appuyant sur Ctrl + Alt + T  ou  Ctrl + Shift + T  sur le clavier. Après cela, suivez les instructions d'installation ci-dessous qui correspondent au système d'exploitation Linux que vous utilisez actuellement.

Instructions binaires génériques

L'installation binaire générique est la meilleure façon de procéder sur la plupart des distributions Linux, car elle ne nécessite aucun travail acharné pour démarrer. Il n'est pas nécessaire de jouer avec le runtime Snap ou les dépendances comme dans Arch Linux AUR. Pour démarrer l'installation du fichier binaire générique Vault, commencez par télécharger la dernière version avec la  commande wget  ci-dessous.

wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip

Une fois que vous avez terminé de télécharger l'archive Vault ZIP, il est temps d'utiliser la  commande unzip  pour décompresser le binaire. À l'aide de la  commande unzip  , extrayez le fichier.

Remarque : Unzip est un utilitaire standard utilisé pour extraire des fichiers d'archive ZIP à partir de la ligne de commande Linux. Si vous n'avez pas encore installé l'application Unzip, rendez-vous sur Pkgs.org et cliquez sur le package "unzip" sous la distribution que vous utilisez pour commencer.

décompressez le coffre-fort_1.3.1_linux_amd64.zip

Une fois la  commande unzip  exécutée, un binaire nommé « vault » apparaîtra dans votre répertoire personnel. À ce stade, vous devez déplacer ce fichier binaire dans le /usr/bin/répertoire, afin qu'il puisse être appelé comme n'importe quel autre programme sur le système.

coffre-fort sudo mv /usr/bin/

Lorsque le fichier binaire « vault » se trouve dans le /usr/binrépertoire /, vous pourrez utiliser l'application en exécutant la commande ci-dessous dans n'importe quelle fenêtre de terminal.

sauter

Instructions pour Arch Linux AUR

L'application Vault se trouve dans l' AUR Arch Linux . Si vous utilisez Arch Linux, vous pouvez faire fonctionner l'application en entrant les commandes suivantes ci-dessous.

sudo pacman -S git base-devel git clone https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S vault-bin

Configuration du serveur Vault

L'application Vault est un serveur qui s'exécute pour que vous puissiez accéder à vos clés dans une interface utilisateur Web conviviale. Il peut également être exécuté sur un réseau et les clés peuvent être accessibles via Internet ; cependant, dans ce guide, nous ne couvrirons que le serveur local.

Comme Vault est un serveur, sous Linux, il doit s'exécuter à partir d'une fenêtre de terminal. Le problème est que l'exécution d'un serveur de terminaux peut être déroutante, surtout si vous êtes nouveau sur Linux. Pour rendre les choses plus faciles, nous allons créer un script qui peut exécuter le serveur sur le système sans aucune difficulté.

Pour créer le script, ouvrez une fenêtre de terminal et utilisez la commande tactile et créez un fichier vierge appelé vault-server.sh.

touchez vault-server.sh

Après avoir créé le vault-server.shfichier, ouvrez-le dans l'éditeur de texte Nano.

nano -w coffre-fort-serveur.sh

Collez le code ci-dessous dans l'éditeur de texte Nano.

#!/bin/bash

vault server -dev > ~/vault-server-info.txt

Enregistrez les modifications avec  Ctrl + O et quittez avec  Ctrl + X . Ensuite, mettez à jour les autorisations du fichier avec la  commande chmod  .

sudo chmod +x coffre-fort-serveur.sh

Accéder au coffre-fort

Pour accéder à Vault, ouvrez une fenêtre de terminal et exécutez le fichier de script avec la commande ci-dessous.

./vault-server.sh

Au lancement du script, vous verrez une lecture du serveur dans le terminal. Cependant, cette lecture est en constante évolution, nous l'avons donc également redirigée vers un fichier texte dans le répertoire personnel. Ce fichier texte est vault-server-info.txt.

Remarque : chaque fois que vous lancez Vault, le fichier vault-server-info.txt change. Vous devez le vérifier et copier le nouveau jeton ou la connexion ne fonctionnera pas.

Une fois le serveur en cours d'exécution, ouvrez le gestionnaire de fichiers Linux, cliquez sur « Accueil », ouvrez vault-server-info.txtet copiez le code après « Jeton racine : » dans votre presse-papiers. Ensuite, lancez votre navigateur Web préféré et accédez à l'URL ci-dessous.

localhost:8200/ui/

Connectez-vous avec la clé de jeton que vous avez copiée vault-server-info.txt.

Arrêter le serveur

Besoin d'arrêter le serveur Vault ? Cliquez sur la fenêtre du terminal exécutant actuellement le script et appuyez sur  Ctrl + C .

Utiliser Vault pour stocker des secrets

Maintenant que le serveur est opérationnel, suivez les instructions étape par étape ci-dessous pour savoir comment protéger vos secrets dans le coffre-fort.

Étape 1 : assurez-vous que vous êtes connecté à l'interface utilisateur Web de Vault dans le navigateur Web. Cliquez ensuite sur « Secrets » en haut de la page.

Étape 2 :  Localisez « Cubbyhole » et cliquez dessus avec la souris. Cubbyhole est le moteur secret par défaut que vous pouvez utiliser pour des données arbitraires (mots de passe, informations personnelles, codes d'accès, etc.).

Étape 3 : À l'intérieur de Cubbyhole, vous verrez un message indiquant : « Pas encore de secrets dans ce backend. » Trouvez le bouton « Créer un secret » et cliquez dessus avec la souris.

Étape 4:  En cliquant sur "Créer un secret", une fenêtre contextuelle apparaîtra. Dans la fenêtre contextuelle, recherchez « Chemin de ce secret » et remplissez-le pour décrire le secret. Par exemple, pour stocker un « secret » contenant le mot de passe de votre serveur FTP, vous écririez « mot de passe FTP » dans la zone de chemin.

Étape 5 : En suivant le chemin, recherchez « Données secrètes ». À partir de là, trouvez « clé ». Dans la zone de clé, entrez une référence au secret que vous souhaitez stocker.

Par exemple, si vous stockez le mot de passe de votre serveur FTP, vous pouvez saisir le nom d'utilisateur sur le serveur dans « clé ». S'il s'agit d'une note, vous pouvez écrire « note 1 », etc.

Étape 6 :  Recherchez « valeur » et saisissez le texte que vous souhaitez garder secret. Encore une fois, s'il s'agit par exemple d'un mot de passe (comme un mot de passe de serveur FTP), saisissez le mot de passe dans la case « valeur ». Vous pouvez également remplir votre note, votre clé API ou tout autre élément que vous souhaitez protéger en tant que secret.

Une fois tous les champs remplis, cliquez sur « Enregistrer » pour enregistrer le secret dans le coffre-fort. Pour accéder à vos secrets enregistrés, assurez-vous que le serveur Vault est en cours d'exécution, connectez-vous à l'interface utilisateur Web et cliquez sur « Cubbyhole ».