Как хранить конфиденциальные данные в Linux с помощью Vault

Хранилища - это сложный инструмент безопасности, используемый для обеспечения безопасности различных типов данных (ключей аутентификации, информации для входа и т. Д.). В этом руководстве мы покажем вам, как использовать его для хранения и шифрования основной информации. Однако следует понимать, что Vault также можно использовать для хранения сложных секретов, таких как пароли AWS, ключи API, ключи SSH и данные для входа в базу данных. Для получения дополнительной информации о том, что вы можете делать с помощью инструмента Vault, ознакомьтесь с их документацией .

Установка Vault в Linux

Приложение Vault необходимо установить в системе, прежде чем мы сможем узнать, как его использовать для хранения секретов в вашей системе Linux. Чтобы начать установку, откройте окно терминала, нажав Ctrl + Alt + T  или  Ctrl + Shift + T  на клавиатуре. После этого следуйте приведенным ниже инструкциям по установке, которые соответствуют используемой вами операционной системе Linux.

Общие двоичные инструкции

Обычная двоичная установка - лучший вариант для большинства дистрибутивов Linux, так как для ее запуска не требуется тяжелой работы. Нет необходимости возиться со средой выполнения Snap или зависимостями, как в Arch Linux AUR. Чтобы начать установку стандартного двоичного файла Vault, начните с загрузки последней версии с помощью  приведенной ниже команды wget  .

wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip

После того, как вы закончили загрузку ZIP-архива Vault, пора использовать команду unzip  для распаковки двоичного файла  . Используя команду  unzip  , извлеките файл.

Примечание. Unzip - это стандартная утилита, используемая для извлечения файлов ZIP-архивов из командной строки Linux. Если у вас еще не установлено приложение Unzip, перейдите на Pkgs.org и щелкните пакет «unzip» в дистрибутиве, который вы используете, чтобы начать с ним работать.

разархивировать vault_1.3.1_linux_amd64.zip

После  запуска команды unzip  в вашем домашнем каталоге появится двоичный файл с именем «vault». На этом этапе вы должны переместить этот двоичный файл в /usr/bin/каталог, чтобы его можно было вызывать, как любую другую программу в системе.

sudo mv хранилище / usr / bin /

Когда двоичный файл «хранилища» находится в /usr/binкаталоге /, вы сможете использовать приложение, выполнив приведенную ниже команду в любом окне терминала.

сейф

Инструкции Arch Linux AUR

Приложение Vault находится в Arch Linux AUR . Если вы используете Arch Linux, вы можете заставить приложение работать, введя следующие команды ниже.

sudo pacman -S git base-devel git clone https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S vault-bin

Настройка сервера Vault

Приложение Vault - это сервер, который работает так, что вы можете получить доступ к своим ключам в удобном веб-интерфейсе пользователя. Его также можно запустить в сети, а ключи могут быть доступны через Интернет; однако в этом руководстве мы будем рассматривать только локальный сервер.

Поскольку Vault является сервером, в Linux его необходимо запускать из окна терминала. Проблема в том, что запуск терминального сервера может сбивать с толку, особенно если вы новичок в Linux. Чтобы упростить задачу, мы собираемся создать сценарий, который сможет запускать сервер в системе без каких-либо проблем.

Чтобы создать сценарий, откройте окно терминала, используйте сенсорную команду и создайте пустой файл с именем vault-server.sh.

коснитесь vault-server.sh

После создания vault-server.shфайла откройте его в текстовом редакторе Nano.

nano -w vault-server.sh

Вставьте приведенный ниже код в текстовый редактор Nano.

#!/bin/bash

vault server -dev > ~/vault-server-info.txt

Сохраните изменения с  помощью Ctrl + O , и выйти с  помощью Ctrl + X . Затем обновите права доступа к файлу с помощью  команды chmod  .

sudo chmod + x vault-server.sh

Доступ к Vault

Чтобы получить доступ к Vault, откройте окно терминала и выполните файл сценария с помощью приведенной ниже команды.

./vault-server.sh

После запуска скрипта вы увидите в терминале показания сервера. Однако это показание постоянно меняется, поэтому мы также передали его в текстовый файл в домашнем каталоге. Это текстовый файл vault-server-info.txt.

Примечание. Каждый раз, когда вы запускаете Vault, файл vault-server-info.txt будет изменяться. Вы должны проверить его и скопировать новый токен, иначе логин не будет работать.

После запуска сервера откройте файловый менеджер Linux, нажмите «Главная», откройте vault-server-info.txtи скопируйте код после «Root Token:» в буфер обмена. Затем запустите свой любимый веб-браузер и перейдите по указанному ниже URL-адресу.

localhost:8200/ui/

Войдите в систему, используя ключ токена, из которого вы скопировали vault-server-info.txt.

Остановить сервер

Необходимо остановить сервер Vault? Нажмите на окно терминала в настоящее время работает скрипт и нажмите  Ctrl + C .

Использование Vault для хранения секретов

Теперь, когда сервер запущен и работает, следуйте пошаговым инструкциям ниже, чтобы узнать, как хранить свои секреты в безопасности в Vault.

Шаг 1. Убедитесь, что вы вошли в веб-интерфейс Vault в веб-браузере. Затем нажмите «Секреты» вверху страницы.

Шаг 2:  Найдите «Cubbyhole» и щелкните по нему мышью. Cubbyhole - это секретный механизм по умолчанию, который вы можете использовать для произвольных данных (паролей, личной информации, кодов доступа и т. Д.).

Шаг 3. Внутри Cubbyhole вы увидите сообщение: «В этом бэкэнде пока нет секретов». Найдите кнопку «Создать секрет» и щелкните ее мышью.

Шаг 4:  После нажатия «Создать секрет» появится всплывающее окно. Во всплывающем окне найдите «Путь к этому секрету» и заполните его, чтобы описать секрет. Например, чтобы сохранить «секрет», содержащий пароль вашего FTP-сервера, вы должны написать «FTP-пароль» в поле пути.

Шаг 5: Следуя по пути, найдите «Секретные данные». Отсюда найдите «ключ». В поле для ключей введите ссылку на секрет, который вы хотите сохранить.

Например, если вы храните пароль своего FTP-сервера, вы можете ввести имя пользователя для сервера в поле «ключ». Если это заметка, вы можете написать «заметка №1» и т. Д.

Шаг 6:  Найдите «значение» и введите текст, который хотите сохранить в секрете. Еще раз, если, например, это пароль (например, пароль FTP-сервера), введите пароль в поле «значение». Как вариант, заполните заметку, ключ API или что-нибудь еще, что вы хотите сохранить в секрете.

После заполнения всех полей нажмите «Сохранить», чтобы сохранить секрет в Vault. Чтобы получить доступ к сохраненным секретам, убедитесь, что сервер Vault запущен, войдите в веб-интерфейс и нажмите «Cubbyhole».