Vždy není možné zapamatovat si všechny tajné klíče, přístupové fráze a tokeny. Správa a udržování tajemství může být někdy náročný úkol. Možná budeme muset někde uložit taková tajemství, která můžeme v případě potřeby použít. Hashicorp Vault je řešení, které lze použít k ukládání tajemství. Chrání všechna tajemství na něm uložená a udržuje je v bezpečí. V tomto článku se naučíme, jak nainstalovat Hashicorp vault na ubuntu 20.04.
Předpoklady
- Čerstvě nainstalovaný systém ubuntu
- Kořenový privilegovaný uživatelský účet
- Připojení k internetu pro stahování balíčků
Aktualizujte server
Před zahájením nastavení se ujistěte, že váš server ubuntu je aktuální. Spuštěním následujícího příkazu aktualizujte a upgradujte balíčky aplikací.
$ sudo apt-get update && sudo apt-get upgrade -y
Download the latest version of a vault
Nejnovější verze aplikace vault je k dispozici na stránce pro stažení trezoru Hashicorp. Přejděte na odkaz https://www.vaultproject.io/downloads a vyhledejte „Nejnovější stahování“ v dolní části stránky. Najděte balíček ke stažení pro Linux a zkopírujte odkaz ke stažení.
Po zkopírování odkazu lze aplikaci stáhnout pomocí wget příkaz.
$ wget https://releases.hashicorp.com/vault/1.8.2/vault_1.8.2_linux_amd64.zip
Rozbalte soubor
Po dokončení stahování rozbalte archiv a přesuňte soubor do /usr/bin adresář.
$ unzip vault_1.8.2_linux_amd64.zip
$ sudo mv vault /usr/bin
Můžete zadat sejf příkaz, který zobrazí běžné příkazy úložiště.
$ vault
Vytvořte konfigurační soubor úložiště
Vytvořte nějaké adresáře pro ukládání dat úložiště a konfiguračních souborů. V tomto článku budeme konfigurační soubory ukládat do adresáře /etc/vault a data úložiště v adresáři /var/lib/vault/data .
$ sudo mkdir /etc/vault
$ sudo mkdir -p /var/lib/vault/data
Nyní vytvořte konfigurační soubor trezoru hashicorp v /etc/vault adresář.
$ sudo vi /etc/vault/config.hcl
Vložte následující obsah a uložte.
disable_cache = true
disable_mlock = true
ui = true
listener "tcp" {
address = "0.0.0.0:8200"
tls_disable = 1
}
storage "file" {
path = "/var/lib/vault/data"
}
api_addr = "http://0.0.0.0:8200"
max_lease_ttl = "8h"
default_lease_ttl = "8h"
cluster_name = "vault"
raw_storage_endpoint = true
disable_sealwrap = true
disable_printable_check = true Nakonfigurujte úschovnu tak, aby se spouštěla jako služba
Potřebujeme vytvořit soubor služby úschovny, abychom mohli aplikaci úschovny spustit jako službu. Přejděte do adresáře /etc/systemd/system/ a vytvořte soubor služby s následujícím obsahem.
$ sudo vi /etc/systemd/system/vault.service
[Unit] Description="HashiCorp Vault - A tool for managing secrets" Documentation=https://www.vaultproject.io/docs/ Requires=network-online.target After=network-online.target ConditionFileNotEmpty=/etc/vault/config.hcl [Service] ProtectSystem=full ProtectHome=read-only PrivateTmp=yes PrivateDevices=yes SecureBits=keep-caps AmbientCapabilities=CAP_IPC_LOCK NoNewPrivileges=yes ExecStart=/usr/bin/vault server -config=/etc/vault/config.hcl ExecReload=/bin/kill --signal HUP KillMode=process KillSignal=SIGINT Restart=on-failure RestartSec=5 TimeoutStopSec=30 StartLimitBurst=3 LimitNOFILE=6553 [Install] WantedBy=multi-user.target
Uložte soubor a ukončete.
Enable and start vault service
Spuštěním následujícího příkazu spustíte a povolíte službu úschovny.
$ sudo systemctl daemon-reload $ sudo systemctl start vault $ sudo systemctl enable vault
Chcete-li zkontrolovat stav služby vault, spusťte následující příkaz.
$ sudo systemctl status vault
Access vault UI using browser
Úschovnu jsme nainstalovali a nakonfigurovali. Nyní můžete přistupovat k uživatelskému rozhraní úschovny pomocí následující adresy URL.
http://ip_vaseho_serveru:8200
Trezor můžete inicializovat a používat jako správce hesel.
Závěr
V tomto článku jsme se naučili, jak nainstalovat a nakonfigurovat trezor Hashicorp v systému Ubuntu pro ukládání tajných tokenů, hesel a certifikátů.