Jak przechowywać poufne dane w systemie Linux za pomocą Vault

Skarbce stanowią zaawansowane narzędzie zabezpieczające, które ma na celu ochronę różnorodnych danych, takich jak klucze uwierzytelniające czy dane logowania. W niniejszym przewodniku zaprezentujemy, jak skutecznie wykorzystać Vault do przechowywania i szyfrowania istotnych informacji. Warto zaznaczyć, że Vault może być również używany do zarządzania bardziej skomplikowanymi kluczami, takimi jak hasła AWS, klucze API, klucze SSH oraz dane logowania do baz danych. Aby dowiedzieć się więcej o możliwościach, jakie oferuje Vault, zajrzyj do ich dokumentacji.

Instalacja Vault na systemie Linux

Aby rozpocząć korzystanie z aplikacji Vault do przechowywania sekretów na systemie Linux, najpierw musisz ją zainstalować. W celu rozpoczęcia instalacji otwórz terminal, naciskając kombinację Ctrl + Alt + T lub Ctrl + Shift + T. Następnie postępuj zgodnie z poniższymi instrukcjami instalacyjnymi, które są dostosowane do Twojego systemu operacyjnego Linux.

Ogólne instrukcje dotyczące instalacji binarnej

Ogólny sposób instalacji binarnej jest najbardziej uniwersalnym rozwiązaniem dla większości dystrybucji Linuksa, ponieważ nie wymaga skomplikowanych działań. Nie musisz martwić się o środowisko wykonawcze Snap ani zależności, jak w przypadku Arch Linux AUR. Aby zacząć instalację ogólnego pliku binarnego Vault, pobierz najnowszą wersję, używając poniższego polecenia wget.

wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip

Kiedy pobieranie archiwum ZIP dobiegnie końca, czas na jego dekompresję. Możesz to zrobić, używając polecenia unzip.

Uwaga: Unzip to standardowe narzędzie służące do rozpakowywania plików ZIP w systemie Linux. Jeśli nie masz go zainstalowanego, odwiedź Pkgs.org i zainstaluj pakiet „unzip” odpowiedni do swojej dystrybucji.

unzip vault_1.3.1_linux_amd64.zip

Po wykonaniu polecenia unzip, w katalogu domowym pojawi się plik binarny o nazwie „vault”. Teraz musisz przenieść ten plik do katalogu /usr/bin/, aby móc go uruchamiać jak każdy inny program w systemie.

sudo mv vault /usr/bin/

Po umieszczeniu pliku binarnego „vault” w katalogu /usr/bin/ będziesz mógł korzystać z aplikacji, wywołując poniższe polecenie w terminalu.

vault

Instrukcje dla Arch Linux AUR

Aplikacja Vault jest dostępna w Arch Linux AUR. Jeśli korzystasz z Arch Linux, możesz zainstalować aplikację, wykonując poniższe polecenia.

sudo pacman -S git base-devel

git clone https://aur.archlinux.org/trizen.git

cd trizen

makepkg -sri

trizen -S vault-bin

Konfiguracja serwera Vault

Vault działa jako serwer, co pozwala na dostęp do kluczy przez przyjazny interfejs webowy. Można go także uruchomić w sieci, co umożliwia dostęp do kluczy z Internetu; jednak w tym przewodniku skoncentrujemy się na lokalnym serwerze.

W związku z tym, że Vault to serwer, musi być uruchomiony z terminala w systemie Linux. Może to być nieco skomplikowane, zwłaszcza dla osób, które dopiero zaczynają przygodę z Linuksem. Aby to uprościć, stworzymy skrypt, który pozwoli na łatwe uruchomienie serwera.

Aby utworzyć skrypt, otwórz terminal i użyj polecenia touch, aby stworzyć pusty plik o nazwie vault-server.sh.

touch vault-server.sh

Następnie otwórz plik vault-server.sh w edytorze tekstowym Nano.

nano -w vault-server.sh

Wklej poniższy kod do edytora Nano:

#! /bin/bash

vault server -dev > ~/vault-server-info.txt

Zapisz zmiany, używając kombinacji Ctrl + O, a następnie zakończ edytor, naciskając Ctrl + X. Następnie zaktualizuj uprawnienia pliku przy pomocy polecenia chmod.

sudo chmod +x vault-server.sh

Dostęp do Vault

Aby uzyskać dostęp do Vault, otwórz terminal i uruchom skrypt, wykonując poniższe polecenie.

./vault-server.sh

Po uruchomieniu skryptu w terminalu zobaczysz status serwera. Należy pamiętać, że ten status ciągle się zmienia, dlatego zapisaliśmy go również w pliku tekstowym w katalogu domowym. Ten plik to vault-server-info.txt.

Uwaga: przy każdym uruchomieniu Vault plik vault-server-info.txt będzie aktualizowany. Musisz go sprawdzić i skopiować nowy token, aby móc się zalogować.

Po uruchomieniu serwera otwórz menedżera plików w systemie Linux, przejdź do katalogu „Home”, otwórz vault-server-info.txt i skopiuj kod znajdujący się obok „Root Token:”. Następnie uruchom swoją ulubioną przeglądarkę internetową i wejdź pod adres:

localhost:8200/ui/

Zaloguj się, używając skopiowanego tokenu z vault-server-info.txt.

Jak zatrzymać serwer

Aby zatrzymać serwer Vault, wystarczy kliknąć na okno terminala, w którym działa skrypt, i nacisnąć Ctrl + C.

Użycie Vault do przechowywania sekretów

Teraz, gdy serwer jest uruchomiony, postępuj zgodnie z poniższymi krokami, aby nauczyć się, jak skutecznie chronić swoje sekrety w Vault.

Krok 1: Upewnij się, że jesteś zalogowany do interfejsu webowego Vault w przeglądarce. Następnie kliknij zakładkę „Sekrety” u góry strony.

Krok 2: Zlokalizuj sekcję „Cubbyhole” i kliknij na nią. Cubbyhole to domyślny silnik tajny, który można wykorzystać do przechowywania różnorodnych danych (takich jak hasła, dane osobowe czy kody dostępu).

Krok 3: W Cubbyhole zobaczysz komunikat „Nie ma jeszcze żadnych sekretów w tym zapleczu”. Kliknij przycisk „Utwórz hasło”.

Krok 4: Po kliknięciu „Utwórz sekret” wyświetli się okno dialogowe. Wypełnij pole „Ścieżka do tego sekretu”, aby opisać sekret. Na przykład, jeśli chcesz zapisać hasło do serwera FTP, wpisz „hasło FTP” w tym polu.

Krok 5: W sekcji „Tajne dane” znajdź pole „klucz”. Wprowadź odniesienie do sekretu, który chcesz przechować. Na przykład, jeśli zapisujesz hasło do serwera FTP, możesz wpisać nazwę użytkownika w polu klucza. W przypadku notatki możesz wpisać „uwaga nr 1” itd.

Krok 6: Zlokalizuj pole „wartość” i wprowadź tekst, który chcesz zabezpieczyć. Na przykład, jeżeli jest to hasło do serwera FTP, wprowadź je w tym polu. Możesz również wpisać notatkę, klucz API lub inne informacje, które chcesz zabezpieczyć.

Po wypełnieniu wszystkich wymaganych pól kliknij „Zapisz”, aby przechować sekret w Vault. Aby uzyskać dostęp do zapisanych sekretów, upewnij się, że serwer Vault jest uruchomiony, zaloguj się do interfejsu WWW i kliknij na „Cubbyhole”.


newsblog.pl