HashiCorp Vault в Centos 8

Thank you for reading this post, don't forget to subscribe!

Оригинал статьи:

Уста­нов­ка HashiCorp Vault в Centos 8

HashiСorp Vault — это инстру­мент с откры­тым исход­ным кодом, пред­на­зна­чен­ный для без­опас­но­го хра­не­ния сек­ре­тов и кон­фи­ден­ци­аль­ных дан­ных в дина­ми­че­ских облач­ных сре­дах. Он обес­пе­чи­ва­ет надеж­ное шиф­ро­ва­ние дан­ных, доступ на осно­ве иден­ти­фи­ка­ции с помо­щью настра­и­ва­е­мых политик

Рас­смот­рим вари­ант уста­нов­ки про­грамм­но­го обес­пе­че­ния HashiCorp Vault с фай­ло­вым типом хра­не­ния дан­ных (сек­ре­тов).

Подготовка

Добав­ля­ем hostname и ip в файл /etc/hosts

Обнов­ля­ем ОС, ста­вим необ­хо­ди­мый софт

Установка Vault

Пере­хо­дим в ката­лог /tmp

Ска­чи­ва­ем финаль­ную вер­сию vault, рас­па­ко­вы­ва­ем ее

Меня­ем вла­дель­ца и пере­но­сим файл

Про­ве­ря­ем версию

Вклю­ча­ем авто запол­не­ние команд

Настройка Vault

Созда­ем систем­ные ката­ло­ги для Vault

/var/lib/vault/data — если тип хра­ни­ли­ща файловый.
Поз­же рас­смот­рим под­клю­че­ние типа хра­ни­ли­ща на СУБД PostgreSQL

Созда­ем систем­но­го поль­зо­ва­те­ля vault

Созда­ем Systemd Unit

[codesyntax lang="php"]

[/codesyntax]

Созда­ем кон­фи­гу­ра­ци­он­ный файл для Vault

[codesyntax lang="php"]

[/codesyntax]

Настройка SeLinux

Добав­ля­ем порт Vault в исключения

Добав­ля­ем сер­вис в авто­за­груз­ку и запус­ка­ем его

Про­ве­ря­ем статус

Настройка Firewall

Откры­ва­ем порт 8200/tcp

Инициализация Vault Server

Добав­ля­ем пере­мен­ные, что б в даль­ней­шем не вво­дить ее каж­дый раз в -address=http://vault.example.com:8200

Ини­ци­а­ли­зи­ру­ем сер­вис с сохра­не­ни­ем клю­чей в файл /etc/vault.d/init.file (не безопастно)

где
-n (-key-share) — Коли­че­ство общих клю­чей, на кото­рые нуж­но раз­де­лить сге­не­ри­ро­ван­ный глав­ный ключ. Это коли­че­ство «клю­чей рас­пе­чат­ки», кото­рое нуж­но сгенерировать.
-t (-key-threshold) — Коли­че­ство общих клю­чей, необ­хо­ди­мых для вос­ста­нов­ле­ния глав­но­го клю­ча. Это долж­но быть мень­ше или рав­но -key-share

Про­ве­ря­ем статус

Рас­пе­ча­ты­ва­ем хра­ни­ли­ще, ина­че не полу­чит­ся авторизоваться

Смот­рим статус

Авто­ри­зи­ру­ем­ся

Рас­пе­ча­ты­вать хра­ни­ли­ще и авто­ри­зо­вать­ся мож­но так же через web-интерфейс

http://vault.example.com:8200

Если надо уда­лить базу (фай­ло­вую)