Como armazenar dados confidenciais no Linux com Vault

Vaults é uma ferramenta de segurança sofisticada usada para manter vários tipos de dados (chaves de autenticação, informações de login, etc.) seguros. Neste guia, mostraremos como usá-lo para armazenar e criptografar informações básicas. No entanto, entenda que o Vault também pode ser usado para armazenar segredos complexos, como senhas da AWS, chaves de API, chaves SSH e informações de login do banco de dados. Para obter mais informações sobre o que você pode fazer com a ferramenta Vault, verifique a documentação .

Instalando o Vault no Linux

O aplicativo Vault precisa ser instalado no sistema antes que possamos ver como usá-lo para armazenar segredos em seu sistema Linux. Para iniciar a instalação, abra uma janela de terminal pressionando Ctrl + Alt + T  ou  Ctrl + Shift + T  no teclado. Depois disso, siga as instruções de instalação abaixo que correspondem ao sistema operacional Linux que você usa atualmente.

Instruções binárias genéricas

A instalação binária genérica é a melhor maneira de prosseguir na maioria das distribuições Linux, pois não requer nenhum trabalho duro para prosseguir. Não há necessidade de mexer com o tempo de execução do Snap ou dependências como no Arch Linux AUR. Para iniciar a instalação do arquivo binário genérico do Vault, comece baixando a versão mais recente com o  comando wget  abaixo.

wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip

Depois de terminar o download do arquivo ZIP do Vault, é hora de usar o  comando unzip  para descompactar o binário. Usando o  comando unzip  , extraia o arquivo.

Nota: Unzip é um utilitário padrão usado para extrair arquivos ZIP da linha de comando do Linux. Se você ainda não tiver o aplicativo Unzip instalado, vá até Pkgs.org e clique no pacote “descompactar” na distribuição que você usa para começar a usá-lo.

descompacte o vault_1.3.1_linux_amd64.zip

Assim que o  comando unzip  for executado, um binário chamado “cofre” aparecerá em seu diretório inicial. Neste ponto, você deve mover esse arquivo binário para o /usr/bin/diretório, para que possa ser chamado como qualquer outro programa no sistema.

sudo mv vault / usr / bin /

Quando o arquivo binário “cofre” está no /usr/bindiretório /, você poderá usar o aplicativo executando o comando abaixo em qualquer janela de terminal.

cofre

Instruções do Arch Linux AUR

O aplicativo Vault está no Arch Linux AUR . Se você estiver usando o Arch Linux, você pode fazer o aplicativo funcionar digitando os seguintes comandos abaixo.

sudo pacman -S git base-devel git clone https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S vault-bin

Configurando o servidor Vault

O aplicativo Vault é um servidor executado para que você possa acessar suas chaves em uma interface de usuário da web amigável. Também pode ser executado em rede e as chaves podem ser acessadas pela Internet; entretanto, neste guia, abordaremos apenas o servidor local.

Como o Vault é um servidor, no Linux, ele precisa ser executado a partir de uma janela de terminal. O problema é que executar um servidor de terminal pode ser confuso, especialmente se você for novo no Linux. Para tornar as coisas mais fáceis, vamos criar um script que pode executar o servidor no sistema sem a necessidade de confusão.

Para criar o script, abra uma janela de terminal e use o comando touch e crie um arquivo em branco chamado vault-server.sh.

toque em vault-server.sh

Depois de criar o vault-server.sharquivo, abra-o no editor de texto Nano.

nano -w vault-server.sh

Cole o código abaixo no editor de texto Nano.

#!/bin/bash

vault server -dev > ~/vault-server-info.txt

Salvar as edições com  Ctrl + O , e sair com  Ctrl + X . Em seguida, atualize as permissões do arquivo com o  comando chmod  .

sudo chmod + x vault-server.sh

Acessando o Vault

Para acessar o Vault, abra uma janela de terminal e execute o arquivo de script com o comando abaixo.

./vault-server.sh

Ao iniciar o script, você verá uma leitura do servidor no terminal. No entanto, essa leitura está sempre mudando, então também a enviamos para um arquivo de texto no diretório inicial. Este arquivo de texto é vault-server-info.txt.

Nota: cada vez que você iniciar o Vault, o arquivo vault-server-info.txt mudará. Você deve verificar e copiar o novo token ou o login não funcionará.

Quando o servidor estiver em execução, abra o gerenciador de arquivos do Linux, clique em “Home” vault-server-info.txt, abra e copie o código após “Root Token:” para a área de transferência. Em seguida, inicie o seu navegador favorito e vá para o URL abaixo.

localhost:8200/ui/

Faça login com a chave de token da qual você copiou vault-server-info.txt.

Pare o servidor

Precisa parar o servidor do Vault? Clique na janela de terminal em execução o script e pressione  Ctrl + C .

Usando o Vault para armazenar segredos

Agora que o servidor está instalado e funcionando, siga as instruções passo a passo abaixo para aprender como manter seus segredos seguros no Vault.

Etapa 1: Certifique-se de estar conectado à IU da web do Vault no navegador da web. Em seguida, clique em “Segredos” no topo da página.

Passo 2:  Localize “Cubbyhole” e clique nele com o mouse. Cubbyhole é o mecanismo secreto padrão que você pode usar para dados arbitrários (senhas, informações pessoais, códigos de acesso, etc.).

Etapa 3: dentro do Cubbyhole, você verá uma mensagem que diz: "Nenhum segredo neste back-end ainda." Encontre o botão “Criar segredo” e clique nele com o mouse.

Etapa 4:  Ao clicar em “Criar segredo,” um pop-up aparecerá. Na janela pop-up, encontre “Caminho para este segredo” e preencha-o para descrever o segredo. Por exemplo, para armazenar um “segredo” contendo a senha do servidor FTP, você deve escrever “Senha do FTP” na caixa do caminho.

Etapa 5: seguindo o caminho, encontre “Dados secretos”. A partir daqui, encontre a “chave”. Na caixa da chave, insira uma referência ao segredo que deseja armazenar.

Por exemplo, se você estiver armazenando a senha do servidor FTP, pode inserir o nome de usuário do servidor na "chave". Se for uma nota, você pode escrever “nota nº 1,” etc.

Passo 6:  Encontre “valor” e digite o texto que você deseja manter em segredo. Mais uma vez, se, por exemplo, for uma senha (como uma senha de servidor FTP), insira a senha na caixa “valor”. Como alternativa, preencha sua nota, chave de API ou qualquer outra coisa que gostaria de proteger como segredo.

Assim que todos os campos forem preenchidos, clique em “Salvar” para salvar o segredo no Vault. Para acessar seus segredos salvos, certifique-se de que o servidor do Vault esteja em execução, faça login na IU da Web e clique em “Cubbyhole”.