Cum să stocați date sensibile în Linux cu Vault

Vaults este un instrument de securitate sofisticat folosit pentru a păstra în siguranță diferite tipuri de date (chei de autentificare, informații de conectare etc.). În acest ghid, vă vom arăta cum să îl utilizați pentru a stoca și cripta informațiile de bază. Cu toate acestea, înțelegeți că Vault poate fi folosit și pentru a stoca secrete complexe, cum ar fi parolele AWS, cheile API, cheile SSH și informațiile de conectare la baza de date. Pentru mai multe informații despre ce puteți face cu instrumentul Vault, vă rugăm să consultați documentația acestora .

Instalarea Vault pe Linux

Aplicația Vault trebuie să fie instalată pe sistem înainte de a putea analiza cum să o folosim pentru a stoca secrete pe sistemul dvs. Linux. Pentru a începe instalarea, deschideți o fereastră de terminal apăsând Ctrl + Alt + T  sau  Ctrl + Shift + T de  pe tastatură. După aceea, urmați instrucțiunile de instalare de mai jos care corespund sistemului de operare Linux pe care îl utilizați în prezent.

Instrucțiuni binare generice

Instalarea binară generică este cea mai bună modalitate de a merge pe majoritatea distribuțiilor Linux, deoarece nu necesită nicio muncă grea pentru a începe. Nu este nevoie să te încurci cu runtime-ul Snap sau cu dependențele ca în Arch Linux AUR. Pentru a începe instalarea fișierului binar generic Vault, începeți prin a descărca cea mai recentă versiune cu  comanda wget de  mai jos.

wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip

După ce ați terminat de descărcat arhiva Vault ZIP, este timpul să utilizați comanda dezarhivare  pentru a decomprima fișierul  binar. Folosind  comanda unzip  , extrageți fișierul.

Notă: Unzip este un utilitar standard folosit pentru a extrage fișierele de arhivă ZIP din linia de comandă Linux. Dacă nu aveți deja instalată aplicația Unzip, vă rugăm să mergeți la Pkgs.org și să faceți clic pe pachetul „unzip” din distribuția pe care o utilizați pentru a începe.

dezarhivați seif_1.3.1_linux_amd64.zip

Odată ce  comanda de dezarhivare  este executată, un binar numit „seif” va apărea în directorul dvs. de acasă. În acest moment, trebuie să mutați acest fișier binar în /usr/bin/director, astfel încât să poată fi apelat ca orice alt program de pe sistem.

sudo mv vault /usr/bin/

Când fișierul binar „seif” se află în /usr/bindirectorul /, veți putea folosi aplicația rulând comanda de mai jos în orice fereastră de terminal.

seif

Instrucțiuni Arch Linux AUR

Aplicația Vault este în Arch Linux AUR . Dacă utilizați Arch Linux, puteți face ca aplicația să funcționeze introducând următoarele comenzi de mai jos.

sudo pacman -S git base-devel git clone https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S vault-bin

Configurarea serverului Vault

Aplicația Vault este un server care rulează astfel încât să vă puteți accesa cheile într-o interfață de utilizator web prietenoasă. Poate fi rulat și într-o rețea, iar cheile pot fi accesibile prin internet; cu toate acestea, în acest ghid, vom acoperi doar serverul local.

Deoarece Vault este un server, pe Linux, trebuie să ruleze dintr-o fereastră de terminal. Problema este că rularea unui server terminal poate fi confuză, mai ales dacă sunteți nou în Linux. Pentru a ușura lucrurile, vom crea un script care poate rula serverul pe sistem fără a fi nevoie să ne frământăm.

Pentru a crea scriptul, deschideți o fereastră de terminal și utilizați comanda tactilă și creați un fișier gol numit vault-server.sh.

atingeți vault-server.sh

După crearea vault-server.shfișierului, deschideți-l în editorul de text Nano.

nano -w vault-server.sh

Lipiți codul de mai jos în editorul de text Nano.

#!/bin/bash

vault server -dev > ~/vault-server-info.txt

Salvați editările cu  Ctrl + O , și pentru a ieși cu  Ctrl + X . Apoi, actualizați permisiunile fișierului cu  comanda chmod  .

sudo chmod +x vault-server.sh

Accesarea seifului

Pentru a accesa Vault, deschideți o fereastră de terminal și executați fișierul script cu comanda de mai jos.

./vault-server.sh

La lansarea scriptului, veți vedea o citire a serverului în terminal. Cu toate acestea, această citire este în continuă schimbare, așa că l-am transmis și la un fișier text din directorul principal. Acest fișier text este vault-server-info.txt.

Notă: de fiecare dată când lansați Vault, vault-server-info.txt se va schimba. Trebuie să îl verificați și să copiați noul token, altfel autentificarea nu va funcționa.

Odată ce serverul rulează, deschideți managerul de fișiere Linux, faceți clic pe „Acasă” vault-server-info.txt, deschideți și copiați codul după „Root Token:” în clipboard. Apoi, lansați browserul web preferat și accesați adresa URL de mai jos.

localhost:8200/ui/

Conectați-vă cu cheia simbol din care ați copiat-o vault-server-info.txt.

Opriți serverul

Trebuie să opriți serverul Vault? Faceți clic pe fereastra terminalului care rulează în prezent script - ul și apăsați  Ctrl + C .

Folosind Vault pentru a stoca secrete

Acum că serverul este pornit și rulează, urmați instrucțiunile pas cu pas de mai jos pentru a afla cum să vă păstrați secretele în siguranță în Vault.

Pasul 1: Asigurați-vă că sunteți conectat la interfața web Vault în browserul web. Apoi, faceți clic pe „Secrete” din partea de sus a paginii.

Pasul 2:  Găsiți „Cubbyhole” și faceți clic pe el cu mouse-ul. Cubbyhole este motorul secret implicit pe care îl puteți folosi pentru date arbitrare (parole, informații personale, coduri de acces etc.).

Pasul 3: în Cubbyhole, veți vedea un mesaj care spune „Fără secrete în acest backend încă”. Găsiți butonul „Creați secret” și faceți clic pe el cu mouse-ul.

Pasul 4:  După ce faceți clic pe „Creați secret”, va apărea o fereastră pop-up. În fereastra pop-up, găsiți „Calea pentru acest secret” și completați-o pentru a descrie secretul. De exemplu, pentru a stoca un „secret” care conține parola serverului tău FTP, ai scrie „parola FTP” în caseta de cale.

Pasul 5: Urmând calea, găsiți „Date secrete”. De aici, găsiți „cheie”. În caseta cheie, introduceți o referință la secretul pe care doriți să îl stocați.

De exemplu, dacă stocați parola serverului dvs. FTP, puteți introduce numele de utilizator pe server în „cheie”. Dacă este o notă, puteți scrie „nota #1” etc.

Pasul 6:  Găsiți „valoare” și introduceți textul pe care doriți să îl păstrați secret. Încă o dată, dacă, de exemplu, aceasta este o parolă (precum o parolă de server FTP), introduceți parola în caseta „valoare”. Ca alternativă, completați nota, cheia API sau orice altceva pe care doriți să îl asigurați ca secret.

După ce toate câmpurile sunt completate, faceți clic pe „Salvați” pentru a salva secretul în seif. Pentru a vă accesa secretele salvate, asigurați-vă că serverul Vault rulează, conectați-vă la interfața de utilizare web și faceți clic pe „Cubbyhole”.