Hoe gevoelige gegevens in Linux op te slaan met Vault

Vaults is een geavanceerde beveiligingstool die wordt gebruikt om verschillende soorten gegevens (authenticatiesleutels, inloggegevens, enz.) veilig te houden. In deze handleiding laten we u zien hoe u deze kunt gebruiken om basisinformatie op te slaan en te versleutelen. Houd er echter rekening mee dat Vault ook kan worden gebruikt om complexe geheimen op te slaan, zoals AWS-wachtwoorden, API-sleutels, SSH-sleutels en inloggegevens voor de database. Raadpleeg hun documentatie voor meer informatie over wat u met de Vault-tool kunt doen .

Vault installeren op Linux

De Vault-app moet op het systeem zijn geïnstalleerd voordat we kunnen bespreken hoe u deze kunt gebruiken om geheimen op uw Linux-systeem op te slaan. Om de installatie te starten, opent u een terminalvenster door op Ctrl + Alt + T  of  Ctrl + Shift + T  op het toetsenbord te drukken . Volg daarna de onderstaande installatie-instructies die overeenkomen met het Linux-besturingssysteem dat u momenteel gebruikt.

Algemene binaire instructies

De generieke binaire installatie is de beste manier om op de meeste Linux-distributies te werken, omdat er geen hard werk voor nodig is om op gang te komen. Het is niet nodig om te knoeien met de Snap-runtime of afhankelijkheden zoals in de Arch Linux AUR. Om de installatie van het generieke binaire bestand van Vault te starten, begint u met het downloaden van de nieuwste release met de  onderstaande wget-  opdracht.

wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip

Nadat u klaar bent met het downloaden van het Vault ZIP-archief, is het tijd om de  opdracht unzip te  gebruiken om het binaire bestand te decomprimeren. Pak het bestand uit met behulp van de  opdracht unzip  .

Opmerking: Unzip is een standaardhulpprogramma dat wordt gebruikt om ZIP-archiefbestanden uit de Linux-opdrachtregel te extraheren. Als je de Unzip-app nog niet hebt geïnstalleerd, ga dan naar Pkgs.org en klik op het "unzip"-pakket onder de distributie die je gebruikt om ermee aan de slag te gaan.

unzip kluis_1.3.1_linux_amd64.zip

Nadat de  unzip-  opdracht is uitgevoerd, verschijnt een binair bestand met de naam "kluis" in uw thuismap. Op dit punt moet u dit binaire bestand naar de /usr/bin/map verplaatsen , zodat het kan worden aangeroepen zoals elk ander programma op het systeem.

sudo mv kluis /usr/bin/

Wanneer het binaire bestand "kluis" zich in de /usr/binmap / bevindt, kunt u de app gebruiken door de onderstaande opdracht in elk terminalvenster uit te voeren.

kluis

Arch Linux AUR-instructies

De Vault-app bevindt zich in de Arch Linux AUR . Als u Arch Linux gebruikt, kunt u de app laten werken door de volgende opdrachten hieronder in te voeren.

sudo pacman -S git base-devel git clone https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S kluis-bin

De Vault-server configureren

De Vault-app is een server die wordt uitgevoerd zodat u toegang hebt tot uw sleutels in een gebruiksvriendelijke webgebruikersinterface. Het kan ook op een netwerk worden uitgevoerd en sleutels kunnen via internet toegankelijk zijn; in deze handleiding behandelen we echter alleen de lokale server.

Omdat Vault een server is, moet het onder Linux vanuit een terminalvenster worden uitgevoerd. Het probleem is dat het draaien van een terminalserver verwarrend kan zijn, vooral als Linux nieuw voor je is. Om het u gemakkelijker te maken, gaan we een script maken waarmee de server op het systeem kan worden uitgevoerd zonder dat u zich er druk om hoeft te maken.

Om het script te maken, opent u een terminalvenster en gebruikt u de aanraakopdracht en maakt u een leeg bestand met de naam vault-server.sh.

touch kluis-server.sh

Nadat u het vault-server.shbestand hebt gemaakt, opent u het in de Nano-teksteditor.

nano -w kluis-server.sh

Plak de onderstaande code in de Nano-teksteditor.

#!/bin/bash

vault server -dev > ~/vault-server-info.txt

Sla de bewerkingen op met  Ctrl + O en sluit af met  Ctrl + X . Werk vervolgens de machtigingen van het bestand bij met de  opdracht chmod  .

sudo chmod +x kluis-server.sh

Toegang tot kluis

Om toegang te krijgen tot Vault, opent u een terminalvenster en voert u het scriptbestand uit met de onderstaande opdracht.

./vault-server.sh

Bij het starten van het script ziet u een uitlezing van de server in de terminal. Deze uitlezing verandert echter voortdurend, dus we hebben het ook doorgesluisd naar een tekstbestand in de homedirectory. Dit tekstbestand is kluis-server-info.txt.

Opmerking: elke keer dat u Vault start, verandert de kluis-server-info.txt. U moet het controleren en de nieuwe token kopiëren, anders werkt inloggen niet.

Zodra de server draait, opent u de Linux-bestandsbeheerder, klikt u op "Home", opent u vault-server-info.txten kopieert u de code na "Root Token:" naar uw klembord. Start vervolgens uw favoriete webbrowser en ga naar de onderstaande URL.

localhost:8200/ui/

Log in met de tokensleutel die je hebt gekopieerd van vault-server-info.txt.

Stop de server

Wilt u de Vault-server stoppen? Klik op het terminalvenster dat momenteel het script uitvoert en druk op  Ctrl + C .

Vault gebruiken om geheimen op te slaan

Nu de server actief is, volgt u de stapsgewijze instructies hieronder om te leren hoe u uw geheimen veilig kunt bewaren in de Vault.

Stap 1: Zorg ervoor dat u bent aangemeld bij de Vault-webgebruikersinterface in de webbrowser. Klik vervolgens op "Geheimen" bovenaan de pagina.

Stap 2:  Zoek "Cubbyhole" en klik erop met de muis. Cubbyhole is de standaard geheime engine die u kunt gebruiken voor willekeurige gegevens (wachtwoorden, persoonlijke informatie, toegangscodes, enz.).

Stap 3: In Cubbyhole ziet u een bericht met de tekst: "Nog geen geheimen in deze backend." Zoek de knop "Geheim maken" en klik erop met de muis.

Stap 4:  Als u op "Geheim maken" klikt, verschijnt er een pop-up. Zoek in de pop-up "Pad voor dit geheim" en vul het in om het geheim te beschrijven. Als u bijvoorbeeld een "geheim" met uw FTP-serverwachtwoord wilt opslaan, schrijft u "FTP-wachtwoord" in het padvak.

Stap 5: Volg het pad en zoek 'Geheime gegevens'. Zoek vanaf hier 'sleutel'. Voer in het sleutelvak een verwijzing in naar het geheim dat u wilt opslaan.

Als u bijvoorbeeld uw FTP-serverwachtwoord opslaat, kunt u de gebruikersnaam voor de server invoeren in "sleutel". Als het een notitie is, kun je "note #1", enz. schrijven.

Stap 6:  Zoek "waarde" en voer de tekst in die u geheim wilt houden. Nogmaals, als dit bijvoorbeeld een wachtwoord is (zoals een FTP-serverwachtwoord), voer dan het wachtwoord in het vak "waarde" in. U kunt ook uw notitie, API-sleutel of iets anders invullen dat u geheim wilt houden.

Zodra alle velden zijn ingevuld, klikt u op "Opslaan" om het geheim in de kluis op te slaan. Om toegang te krijgen tot uw opgeslagen geheimen, zorgt u ervoor dat de Vault-server actief is, logt u in op de webinterface en klikt u op 'Cubbyhole'.