Vault est une solution de sécurité avancée conçue pour la protection de données sensibles, telles que les clés d’authentification et les informations de connexion. Ce guide vous détaillera la manière d’utiliser Vault pour le stockage et le chiffrement d’informations de base. Il est important de noter que Vault est également capable de gérer des secrets plus complexes, comme les mots de passe AWS, les clés API, les clés SSH et les informations d’accès à des bases de données. Pour une compréhension approfondie des capacités de Vault, consultez la documentation officielle.
Installation de Vault sous Linux
Avant de pouvoir utiliser Vault pour sécuriser vos secrets sur votre système Linux, il est nécessaire d’installer l’application. Pour débuter l’installation, ouvrez une fenêtre de terminal en utilisant le raccourci clavier Ctrl + Alt + T ou Ctrl + Maj + T. Ensuite, suivez les instructions d’installation qui correspondent à votre distribution Linux.
Instructions d’installation binaires génériques
L’installation via les binaires génériques est recommandée pour la plupart des distributions Linux car elle est simple et directe. Elle évite les complexités liées aux environnements d’exécution Snap ou aux dépendances spécifiques comme celles rencontrées avec Arch Linux AUR. Pour installer Vault à l’aide de binaires génériques, commencez par télécharger la dernière version disponible en utilisant la commande wget ci-dessous.
wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip
Après le téléchargement de l’archive ZIP de Vault, utilisez la commande unzip pour extraire le binaire.
Remarque : L’utilitaire unzip est un outil standard utilisé pour décompresser des fichiers ZIP en ligne de commande sous Linux. Si vous ne l’avez pas encore installé, rendez-vous sur Pkgs.org et téléchargez le paquet « unzip » correspondant à votre distribution.
unzip vault_1.3.1_linux_amd64.zip
Une fois la commande de décompression exécutée, un fichier binaire nommé « vault » apparaîtra dans votre répertoire personnel. Déplacez ce binaire vers le répertoire /usr/bin/ pour qu’il soit accessible comme n’importe quel autre programme du système.
sudo mv vault /usr/bin/
Maintenant que le binaire « vault » est dans /usr/bin/, vous pouvez utiliser l’application en exécutant la commande ci-dessous dans n’importe quel terminal.
vault
Instructions d’installation pour Arch Linux AUR
Vault est disponible dans les dépôts AUR pour Arch Linux. Si vous utilisez cette distribution, vous pouvez installer l’application en utilisant les commandes suivantes :
sudo pacman -S git base-devel git clone https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S vault-bin
Configuration du serveur Vault
Vault fonctionne comme un serveur, ce qui permet d’accéder à vos clés via une interface web intuitive. Bien qu’il puisse être configuré pour un accès réseau et internet, ce guide se concentrera sur une configuration serveur locale.
Le lancement d’un serveur terminal peut être source de confusion, surtout pour les novices de Linux. Pour simplifier ce processus, nous allons créer un script qui permet de démarrer le serveur sans complexité.
Pour créer le script, ouvrez un terminal et utilisez la commande touch pour créer un fichier vide nommé vault-server.sh.
touch vault-server.sh
Ouvrez ensuite le fichier vault-server.sh avec l’éditeur de texte Nano.
nano -w vault-server.sh
Collez le code ci-dessous dans l’éditeur Nano :
#! /bin/bash
vault server -dev > ~/vault-server-info.txt
Enregistrez les modifications avec Ctrl + O et fermez l’éditeur avec Ctrl + X. Ensuite, modifiez les permissions du fichier à l’aide de la commande chmod.
sudo chmod +x vault-server.sh
Accès à Vault
Pour accéder à Vault, ouvrez un terminal et exécutez le script créé avec la commande suivante :
./vault-server.sh
Au lancement du script, vous verrez une sortie du serveur dans le terminal. Cette sortie étant dynamique, nous l’avons également redirigée vers un fichier texte appelé vault-server-info.txt dans votre répertoire personnel.
Note: Chaque démarrage de Vault modifie le contenu de vault-server-info.txt. Vous devez vérifier et copier le nouveau jeton à chaque fois, sinon la connexion échouera.
Une fois le serveur démarré, ouvrez votre gestionnaire de fichiers, allez dans « Accueil », puis ouvrez vault-server-info.txt. Copiez le code qui suit « Root Token: » dans votre presse-papier. Enfin, ouvrez votre navigateur internet et allez à l’adresse ci-dessous.
localhost:8200/ui/
Connectez-vous en utilisant le jeton copié depuis vault-server-info.txt.
Arrêt du serveur
Pour arrêter le serveur Vault, cliquez dans la fenêtre de terminal où le script est exécuté et appuyez sur Ctrl + C.
Utilisation de Vault pour le stockage de secrets
Maintenant que le serveur est opérationnel, suivez ces instructions étape par étape pour apprendre à sécuriser vos secrets dans Vault :
Étape 1 : Assurez-vous que vous êtes connecté à l’interface web de Vault. Ensuite, cliquez sur « Secrets » en haut de la page.
Étape 2 : Trouvez « Cubbyhole » et cliquez dessus. Cubbyhole est le moteur secret par défaut pour stocker des données arbitraires (mots de passe, informations personnelles, codes d’accès, etc.).
Étape 3 : À l’intérieur de Cubbyhole, vous verrez le message « Pas encore de secrets dans ce backend ». Cliquez sur le bouton « Créer un secret ».
Étape 4 : Une fenêtre contextuelle apparaîtra après avoir cliqué sur « Créer un secret ». Dans cette fenêtre, repérez « Chemin d’accès à ce secret » et indiquez-y une description du secret. Par exemple, pour un secret contenant le mot de passe de votre serveur FTP, écrivez « mot de passe FTP » dans le champ du chemin.
Étape 5 : Dans la section « Données secrètes », repérez « clé ». Dans le champ « clé », entrez une référence au secret que vous souhaitez stocker. Par exemple, si vous stockez le mot de passe de votre serveur FTP, vous pouvez entrer le nom d’utilisateur du serveur dans « clé ». Si c’est une note, vous pouvez écrire « note n°1 », etc.
Étape 6 : Trouvez le champ « valeur » et saisissez le texte que vous voulez garder secret. Par exemple, si vous avez un mot de passe de serveur FTP, entrez-le dans le champ « valeur ». Vous pouvez aussi y placer une note, votre clé API, ou tout autre élément que vous souhaitez sécuriser.
Une fois tous les champs remplis, cliquez sur « Enregistrer » pour sauvegarder le secret dans Vault. Pour accéder à vos secrets enregistrés, assurez-vous que le serveur Vault est en marche, connectez-vous à l’interface web et cliquez sur « Cubbyhole ».
