Come archiviare dati sensibili in Linux con Vault

Vaults è un sofisticato strumento di sicurezza utilizzato per mantenere al sicuro vari tipi di dati (chiavi di autenticazione, informazioni di accesso, ecc.). In questa guida, ti mostreremo come utilizzarlo per archiviare e crittografare le informazioni di base. Tuttavia, tieni presente che Vault può essere utilizzato anche per archiviare segreti complessi come password AWS, chiavi API, chiavi SSH e informazioni di accesso al database. Per ulteriori informazioni su cosa puoi fare con lo strumento Vault, consulta la loro documentazione .

Installazione di Vault su Linux

L'app Vault deve essere installata sul sistema prima di poter esaminare come utilizzarla per archiviare i segreti sul tuo sistema Linux. Per avviare l'installazione, apri una finestra di terminale premendo Ctrl + Alt + T  o  Ctrl + Maiusc + T  sulla tastiera. Successivamente, segui le istruzioni di installazione in basso che corrispondono al sistema operativo Linux che utilizzi attualmente.

Istruzioni binarie generiche

L'installazione binaria generica è il modo migliore per andare avanti sulla maggior parte delle distribuzioni Linux, in quanto non richiede alcun duro lavoro per andare avanti. Non c'è bisogno di fare confusione con il runtime Snap o con le dipendenze come in Arch Linux AUR. Per avviare l'installazione del file binario generico di Vault, inizia scaricando l'ultima versione con il  comando wget di  seguito.

wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip

Dopo aver terminato il download dell'archivio ZIP di Vault, è il momento di utilizzare il  comando unzip  per decomprimere il binario. Usando il  comando unzip  , estrai il file.

Nota: Unzip è un'utilità standard utilizzata per estrarre i file di archivio ZIP dalla riga di comando di Linux. Se non hai già installato l'app Unzip, vai su Pkgs.org e fai clic sul pacchetto "unzip" nella distribuzione che usi per iniziare.

decomprimere vault_1.3.1_linux_amd64.zip

Una volta  eseguito il comando unzip  , un binario chiamato "vault" apparirà nella tua home directory. A questo punto, devi spostare questo file binario nella /usr/bin/directory, in modo che possa essere chiamato come qualsiasi altro programma sul sistema.

sudo mv vault /usr/bin/

Quando il file binario "vault" si trova nella /usr/bindirectory /, sarai in grado di utilizzare l'app eseguendo il comando seguente in qualsiasi finestra del terminale.

volta

Istruzioni per Arch Linux AUR

L'app Vault si trova in Arch Linux AUR . Se stai utilizzando Arch Linux, puoi far funzionare l'app inserendo i seguenti comandi.

sudo pacman -S git base-devel git clone https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S vault-bin

Configurazione del server Vault

L'app Vault è un server che viene eseguito in modo che tu possa accedere alle tue chiavi in ​​un'interfaccia utente web amichevole. Può anche essere eseguito su una rete e le chiavi possono essere accessibili tramite Internet; tuttavia, in questa guida, tratteremo solo il server locale.

Poiché Vault è un server, su Linux deve essere eseguito da una finestra di terminale. Il problema è che l'esecuzione di un server terminal può creare confusione, soprattutto se non conosci Linux. Per rendere le cose più semplici, creeremo uno script in grado di eseguire il server sul sistema senza bisogno di agitarsi.

Per creare lo script, apri una finestra di terminale e usa il comando touch e crea un file vuoto chiamato vault-server.sh.

tocca vault-server.sh

Dopo aver creato il vault-server.shfile, aprilo nell'editor di testo Nano.

nano -w vault-server.sh

Incolla il codice qui sotto nell'editor di testo Nano.

#!/bin/bash

vault server -dev > ~/vault-server-info.txt

Salva le modifiche con  Ctrl + O ed esci con  Ctrl + X . Quindi, aggiorna i permessi del file con il  comando chmod  .

sudo chmod +x vault-server.sh

Accesso al Vault

Per accedere a Vault, apri una finestra di terminale ed esegui il file di script con il comando seguente.

./vault-server.sh

All'avvio dello script, vedrai una lettura del server nel terminale. Tuttavia, questa lettura è in continua evoluzione, quindi l'abbiamo anche reindirizzata a un file di testo nella directory home. Questo file di testo è vault-server-info.txt.

Nota: ogni volta che avvii Vault, il file vault-server-info.txt cambierà. Devi controllarlo e copiare il nuovo token o il login non funzionerà.

Una volta che il server è in esecuzione, apri il file manager di Linux, fai clic su "Home" vault-server-info.txt, apri e copia il codice dopo "Root Token:" negli appunti. Quindi, avvia il tuo browser Web preferito e vai all'URL sottostante.

localhost:8200/ui/

Accedi con la chiave token che hai copiato da vault-server-info.txt.

Ferma il server

Devi arrestare il server Vault? Fare clic sulla finestra del terminale in cui è attualmente in esecuzione lo script e premere  Ctrl + C .

Utilizzo di Vault per archiviare i segreti

Ora che il server è attivo e funzionante, segui le istruzioni passo passo di seguito per imparare a mantenere i tuoi segreti al sicuro nel Vault.

Passaggio 1: assicurati di aver effettuato l'accesso all'interfaccia utente Web di Vault nel browser Web. Quindi, fai clic su "Segreti" nella parte superiore della pagina.

Passaggio 2:  individuare "Cubbyhole" e fare clic su di esso con il mouse. Cubbyhole è il motore segreto predefinito che puoi utilizzare per dati arbitrari (password, informazioni personali, codici di accesso, ecc.).

Passaggio 3: all'interno di Cubbyhole, vedrai un messaggio che dice "Non ci sono ancora segreti in questo backend". Trova il pulsante "Crea segreto" e fai clic con il mouse.

Passaggio 4: dopo  aver fatto clic su "Crea segreto", verrà visualizzato un pop-up. Nel pop-up, trova "Percorso per questo segreto" e compilalo per descrivere il segreto. Ad esempio, per memorizzare un "segreto" contenente la password del server FTP, dovresti scrivere "password FTP" nella casella del percorso.

Passaggio 5: seguendo il percorso, trova "Dati segreti". Da qui, trova "chiave". Nella casella della chiave, inserisci un riferimento al segreto che desideri memorizzare.

Ad esempio, se stai memorizzando la password del tuo server FTP, potresti inserire il nome utente del server in "chiave". Se è una nota, potresti scrivere "nota n. 1", ecc.

Passaggio 6:  trova "valore" e inserisci il testo che desideri mantenere segreto. Anche in questo caso, se, ad esempio, si tratta di una password (come la password di un server FTP), inserire la password nella casella "valore". In alternativa, compila la tua nota, la chiave API o qualsiasi altra cosa che desideri proteggere come segreto.

Una volta compilati tutti i campi, fai clic su "Salva" per salvare il segreto nel Vault. Per accedere ai tuoi segreti salvati, assicurati che il server Vault sia in esecuzione, accedi all'interfaccia utente Web e fai clic su "Cubbyhole".