Hoe gevoelige gegevens in Linux op te slaan met Vault

Vaults is een geavanceerde beveiligingstool die wordt gebruikt om verschillende soorten gegevens (authenticatiesleutels, inloggegevens, etc.) veilig te houden. In deze handleiding laten we u zien hoe u deze kunt gebruiken om basisinformatie op te slaan en te versleutelen. Begrijp echter dat Vault ook kan worden gebruikt om complexe geheimen op te slaan, zoals AWS-wachtwoorden, API-sleutels, SSH-sleutels en aanmeldingsgegevens voor databases. Voor meer informatie over wat u kunt doen met de Vault-tool, bekijk hun documentatie.

Vault installeren op Linux

De Vault-app moet op het systeem zijn geïnstalleerd voordat we kunnen bespreken hoe we deze kunnen gebruiken om geheimen op uw Linux-systeem op te slaan. Om de installatie te starten, opent u een terminalvenster door op te drukken Ctrl + Alt + T of Ctrl + Shift + T op het toetsenbord. Daarna volgt u de onderstaande installatie-instructies die overeenkomen met het Linux-besturingssysteem dat u momenteel gebruikt.

Generieke binaire instructies

De generieke binaire installatie is de beste manier om de meeste Linux-distributies te gebruiken, omdat er geen hard werk voor nodig is. Het is niet nodig om te rommelen met de Snap-runtime of afhankelijkheden zoals in de Arch Linux AUR. Om de installatie van het algemene binaire bestand van Vault te starten, downloadt u eerst de nieuwste release met de wget commando hieronder.

wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip

Nadat u het Vault ZIP-archief hebt gedownload, is het tijd om de uitpakken commando om het binaire bestand te decomprimeren. De... gebruiken uitpakken commando, pak het bestand uit.

Opmerking: Unzip is een standaard hulpprogramma dat wordt gebruikt om ZIP-archiefbestanden uit de Linux-opdrachtregel te extraheren. Als je de Unzip-app nog niet hebt geïnstalleerd, ga dan naar Pkgs.org en klik op het "unzip" -pakket onder de distributie die je gebruikt om ermee aan de slag te gaan.

unzip vault_1.3.1_linux_amd64.zip

Zodra de uitpakken commando wordt uitgevoerd, zal een binair bestand met de naam "kluis" in uw homedirectory verschijnen. Op dit punt moet u dit binaire bestand verplaatsen naar de /usr/bin/ directory, zodat het kan worden aangeroepen zoals elk ander programma op het systeem.

sudo mv kluis / usr / bin /

Als het "kluis" binaire bestand in de /usr/bin/ directory, u kunt de app gebruiken door de onderstaande opdracht uit te voeren in elk terminalvenster.

kluis

Arch Linux AUR-instructies

De Vault-app bevindt zich in de Arch Linux AUR. Als u Arch Linux gebruikt, kunt u de app laten werken door de volgende opdrachten hieronder in te voeren.

sudo pacman -S git base-devel git kloon https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S kluis-bin

De Vault-server configureren

De Vault-app is een server die wordt uitgevoerd, zodat u toegang heeft tot uw sleutels in een vriendelijke webgebruikersinterface. Het kan ook op een netwerk worden uitgevoerd en sleutels zijn via internet toegankelijk; in deze handleiding behandelen we echter alleen de lokale server.

Aangezien Vault een server is, moet deze onder Linux worden uitgevoerd vanuit een terminalvenster. Het probleem is dat het runnen van een terminalserver verwarrend kan zijn, vooral als je nieuw bent bij Linux. Om het u gemakkelijker te maken, gaan we een script maken waarmee de server op het systeem kan worden uitgevoerd zonder dat u zich druk hoeft te maken.

Om het script te maken, opent u een terminalvenster en gebruikt u de aanraakopdracht en maakt u een leeg bestand met de naam kluis-server.sh.

tik op kluis-server.sh

Na het maken van de kluis-server.sh bestand, open het in de Nano-teksteditor.

nano -w vault-server.sh

Plak de onderstaande code in de Nano-teksteditor.

#! / bin / bash

kluis server -dev> ~ / kluis-server-info.txt

Sla de bewerkingen op met Ctrl + Oen sluit af met Ctrl + X. Werk vervolgens de rechten van het bestand bij met de chmod commando.

sudo chmod + x vault-server.sh

Toegang tot Vault

Om toegang te krijgen tot Vault, opent u een terminalvenster en voert u het scriptbestand uit met de onderstaande opdracht.

./vault-server.sh

Bij het starten van het script ziet u een uitlezing van de server in de terminal. Deze uitlezing verandert echter voortdurend, dus we hebben hem ook naar een tekstbestand in de homedirectory geleid. Dit tekstbestand is kluis-server-info.txt.

Opmerking: elke keer dat u Vault start, verandert de kluis-server-info.txt. Je moet het controleren en het nieuwe token kopiëren, anders werkt inloggen niet.

Zodra de server actief is, opent u de Linux-bestandsbeheerder, klikt u op "Home", open kluis-server-info.txt, en kopieer de code na "Root Token:" naar uw klembord. Start vervolgens uw favoriete webbrowser en ga naar de onderstaande URL.

localhost: 8200 / ui /

Log in met de tokensleutel waaruit je hebt gekopieerd kluis-server-info.txt.

Stop de server

Wilt u de Vault-server stoppen? Klik op het terminalvenster dat momenteel het script uitvoert en druk op Ctrl + C.

Vault gebruiken om geheimen op te slaan

Nu de server actief is, volgt u de onderstaande stapsgewijze instructies om te leren hoe u uw geheimen in de kluis kunt bewaren.

Stap 1: Zorg ervoor dat u in de webbrowser bent aangemeld bij de Vault-webinterface. Klik vervolgens bovenaan de pagina op "Secrets".

Stap 2: Zoek "Cubbyhole" en klik erop met de muis. Cubbyhole is de standaard geheime engine die u kunt gebruiken voor willekeurige gegevens (wachtwoorden, persoonlijke informatie, toegangscodes, enz.).

Stap 3: In Cubbyhole zie je een bericht met de tekst 'Nog geen geheimen in deze backend'. Zoek de knop 'Geheim maken' en klik erop met de muis.

Stap 4: Als u op 'Geheim maken' klikt, verschijnt er een pop-up. Zoek in de pop-up "Pad voor dit geheim" en vul het in om het geheim te beschrijven. Als u bijvoorbeeld een 'geheim' wilt opslaan met uw FTP-serverwachtwoord, schrijft u 'FTP-wachtwoord' in het padvak.

Stap 5: Volg het pad en zoek 'Geheime gegevens'. Zoek vanaf hier 'sleutel'. Voer in het sleutelvak een verwijzing in naar het geheim dat u wilt opslaan.

Als u bijvoorbeeld het wachtwoord van uw FTP-server opslaat, kunt u de gebruikersnaam voor de server invoeren in "key". Als het een notitie is, kunt u 'notitie # 1' schrijven, enz.

Stap 6: Zoek "waarde" en voer de tekst in die u geheim wilt houden. Nogmaals, als dit bijvoorbeeld een wachtwoord is (zoals een FTP-serverwachtwoord), voer dan het wachtwoord in het vak "waarde" in. U kunt ook uw notitie, API-sleutel of iets anders dat u als geheim wilt beveiligen, invullen.

Zodra alle velden zijn ingevuld, klikt u op 'Opslaan' om het geheim in de kluis op te slaan. Om toegang te krijgen tot uw opgeslagen geheimen, zorgt u ervoor dat de Vault-server actief is, logt u in op de web-UI en klikt u op "Cubbyhole".