Jak przechowywać poufne dane w systemie Linux za pomocą Vault

Vaults to zaawansowane narzędzie zabezpieczające służące do przechowywania różnych typów danych (kluczy uwierzytelniania, danych logowania itp.). W tym przewodniku pokażemy, jak używać go do przechowywania i szyfrowania podstawowych informacji. Pamiętaj jednak, że Vault może być również używany do przechowywania złożonych wpisów tajnych, takich jak hasła AWS, klucze API, klucze SSH i dane logowania do bazy danych. Aby uzyskać więcej informacji o tym, co możesz zrobić za pomocą narzędzia Vault, zapoznaj się z ich dokumentacją .

Instalowanie Vault w systemie Linux

Aplikację Vault należy zainstalować w systemie, zanim będziemy mogli omówić, jak używać jej do przechowywania sekretów w systemie Linux. Aby rozpocząć instalację, otwórz okno terminala, naciskając Ctrl + Alt + T  lub  Ctrl + Shift + T.  na klawiaturze. Następnie postępuj zgodnie z poniższymi instrukcjami instalacji, które odpowiadają aktualnie używanemu systemowi operacyjnemu Linux.

Ogólne instrukcje binarne

Ogólna instalacja binarna jest najlepszym sposobem na większość dystrybucji Linuksa, ponieważ nie wymaga żadnej ciężkiej pracy. Nie ma potrzeby zadzierać ze środowiskiem wykonawczym Snap lub zależnościami, jak w Arch Linux AUR. Aby rozpocząć instalację ogólnego pliku binarnego Vault, zacznij od pobrania najnowszej wersji za pomocą  poniższego polecenia wget  .

wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip

Po zakończeniu pobierania archiwum Vault ZIP nadszedł czas, aby użyć  polecenia unzip,  aby rozpakować plik binarny. Używając  polecenia unzip  , wyodrębnij plik.

Uwaga: Unzip to standardowe narzędzie używane do wyodrębniania plików archiwum ZIP z wiersza poleceń systemu Linux. Jeśli nie masz jeszcze zainstalowanej aplikacji Unzip, przejdź do Pkgs.org i kliknij pakiet „rozpakuj” w dystrybucji, której używasz, aby rozpocząć.

rozpakuj Vault_1.3.1_linux_amd64.zip

Po uruchomieniu  polecenia rozpakowania  w twoim katalogu domowym pojawi się plik binarny o nazwie „skarbiec”. W tym momencie musisz przenieść ten plik binarny do /usr/bin/katalogu, aby można go było wywołać jak każdy inny program w systemie.

skarbiec sudo mv /usr/bin/

Gdy plik binarny „skarbiec” znajduje się w /usr/binkatalogu /, będziesz mógł korzystać z aplikacji, uruchamiając poniższe polecenie w dowolnym oknie terminala.

sklepienie

Instrukcje Arch Linux AUR

Aplikacja Vault znajduje się w Arch Linux AUR . Jeśli używasz Arch Linux, możesz uruchomić aplikację, wprowadzając poniższe polecenia.

sudo pacman -S git base-devel git clone https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S vault-bin

Konfiguracja serwera Vault

Aplikacja Vault to serwer, który działa, dzięki czemu można uzyskać dostęp do kluczy w przyjaznym, internetowym interfejsie użytkownika. Można go również uruchomić w sieci, a klucze mogą być dostępne przez Internet; jednak w tym przewodniku omówimy tylko serwer lokalny.

Ponieważ Vault jest serwerem, w systemie Linux musi działać z okna terminala. Problem polega na tym, że uruchomienie serwera terminali może być mylące, zwłaszcza jeśli jesteś nowy w Linuksie. Aby to ułatwić, stworzymy skrypt, który będzie mógł uruchomić serwer w systemie bez konieczności robienia zamieszania.

Aby utworzyć skrypt otwórz okno terminala i użyj polecenia touch i utwórz pusty plik o nazwie vault-server.sh.

dotknij vault-server.sh

Po utworzeniu vault-server.shpliku otwórz go w edytorze tekstu Nano.

nano -w vault-server.sh

Wklej poniższy kod do edytora tekstu Nano.

#!/bin/bash

vault server -dev > ~/vault-server-info.txt

Zapisz zmiany za pomocą  Ctrl + O i wyjdź za pomocą  Ctrl + X . Następnie zaktualizuj uprawnienia pliku za pomocą  polecenia chmod  .

sudo chmod +x vault-server.sh

Dostęp do Krypty

Aby uzyskać dostęp do Vault, otwórz okno terminala i uruchom plik skryptu za pomocą poniższego polecenia.

./vault-server.sh

Po uruchomieniu skryptu w terminalu zobaczysz odczyt serwera. Jednak ten odczyt ciągle się zmienia, więc przesłaliśmy go również do pliku tekstowego w katalogu domowym. Ten plik tekstowy to vault-server-info.txt.

Uwaga: za każdym razem, gdy uruchamiasz Vault, zmienia się plik vault-server-info.txt. Musisz to sprawdzić i skopiować nowy token lub logowanie nie zadziała.

Po uruchomieniu serwera otwórz menedżera plików systemu Linux, kliknij „Strona główna”, otwórz vault-server-info.txti skopiuj kod po „Root Token:” do schowka. Następnie uruchom swoją ulubioną przeglądarkę internetową i przejdź do poniższego adresu URL.

localhost:8200/ui/

Zaloguj się za pomocą klucza tokena, z którego skopiowałeś vault-server-info.txt.

Zatrzymaj serwer

Chcesz zatrzymać serwer Vault? Kliknij okno terminala, w którym aktualnie działa skrypt i naciśnij  Ctrl + C .

Używanie Vault do przechowywania sekretów

Teraz, gdy serwer jest już uruchomiony, postępuj zgodnie z poniższymi instrukcjami krok po kroku, aby dowiedzieć się, jak chronić swoje sekrety w Vault.

Krok 1: Upewnij się, że jesteś zalogowany w internetowym interfejsie użytkownika Vault w przeglądarce internetowej. Następnie kliknij „Sekrety” u góry strony.

Krok 2:  Znajdź „Cubbyhole” i kliknij go myszą. Cubbyhole to domyślny tajny silnik, którego można używać do dowolnych danych (hasła, dane osobowe, kody dostępu itp.).

Krok 3: Wewnątrz Cubbyhole zobaczysz komunikat: „Jeszcze nie ma tajemnic w tym zapleczu”. Znajdź przycisk „Utwórz sekret” i kliknij go myszą.

Krok 4:  Po kliknięciu „Utwórz sekret” pojawi się wyskakujące okienko. W wyskakującym okienku znajdź „Ścieżka do tego sekretu” i wypełnij ją, aby opisać sekret. Na przykład, aby zapisać „sekret” zawierający hasło do serwera FTP, wpisz „hasło FTP” w polu ścieżki.

Krok 5: Podążając ścieżką, znajdź „Tajne dane”. Stąd znajdź „klucz”. W polu klucza wpisz odwołanie do tajnego klucza, który chcesz przechowywać.

Na przykład, jeśli przechowujesz hasło do serwera FTP, możesz wprowadzić nazwę użytkownika do serwera w „klucz”. Jeśli jest to notatka, możesz napisać „notatka nr 1” itp.

Krok 6:  Znajdź „wartość” i wprowadź tekst, który chcesz zachować w tajemnicy. Jeszcze raz, jeśli na przykład jest to hasło (tak jak hasło do serwera FTP), wprowadź hasło w polu „wartość”. Ewentualnie wypełnij swoją notatkę, klucz API lub cokolwiek innego, co chcesz zabezpieczyć jako sekret.

Po wypełnieniu wszystkich pól kliknij „Zapisz”, aby zapisać sekret w Krypcie. Aby uzyskać dostęp do zapisanych sekretów, upewnij się, że serwer Vault jest uruchomiony, zaloguj się do internetowego interfejsu użytkownika i kliknij „Cubbyhole”.