Vaults est un outil de sécurité sophistiqué utilisé pour protéger divers types de données (clés d’authentification, informations de connexion, etc.). Dans ce guide, nous vous montrerons comment l’utiliser pour stocker et crypter des informations de base. Cependant, sachez que Vault peut également être utilisé pour stocker des secrets complexes tels que les mots de passe AWS, les clés API, les clés SSH et les informations de connexion à la base de données. Pour plus d’informations sur ce que vous pouvez faire avec l’outil Vault, veuillez consulter leur documentation.
Table des matières
Installation de Vault sur Linux
L’application Vault doit être installée sur le système avant que nous puissions expliquer comment l’utiliser pour stocker des secrets sur votre système Linux. Pour démarrer l’installation, ouvrez une fenêtre de terminal en appuyant sur Ctrl + Alt + T ou Ctrl + Maj + T sur le clavier. Ensuite, suivez les instructions d’installation ci-dessous qui correspondent au système d’exploitation Linux que vous utilisez actuellement.
Instructions binaires génériques
L’installation binaire générique est la meilleure façon de procéder sur la plupart des distributions Linux, car elle ne nécessite aucun travail acharné pour démarrer. Il n’est pas nécessaire de jouer avec le runtime Snap ou des dépendances comme dans Arch Linux AUR. Pour démarrer l’installation du fichier binaire générique Vault, commencez par télécharger la dernière version avec la commande wget ci-dessous.
wget https://releases.hashicorp.com/vault/1.3.1/vault_1.3.1_linux_amd64.zip
Une fois le téléchargement de l’archive ZIP Vault terminé, il est temps d’utiliser la commande unzip pour décompresser le binaire. À l’aide de la commande unzip, extrayez le fichier.
Remarque: Unzip est un utilitaire standard utilisé pour extraire les fichiers d’archive ZIP de la ligne de commande Linux. Si vous n’avez pas encore installé l’application Unzip, rendez-vous sur Pkgs.org, et cliquez sur le paquet «unzip» sous la distribution que vous utilisez pour commencer.
unzip vault_1.3.1_linux_amd64.zip
Une fois la commande de décompression exécutée, un binaire nommé «vault» apparaîtra dans votre répertoire personnel. À ce stade, vous devez déplacer ce fichier binaire dans le répertoire / usr / bin /, afin qu’il puisse être appelé comme n’importe quel autre programme sur le système.
sudo mv vault /usr/bin/
Lorsque le fichier binaire «vault» se trouve dans le répertoire / usr / bin /, vous pourrez utiliser l’application en exécutant la commande ci-dessous dans n’importe quelle fenêtre de terminal.
vault
Instructions Arch Linux AUR
L’application Vault se trouve dans Arch Linux AUR. Si vous utilisez Arch Linux, vous pouvez faire fonctionner l’application en entrant les commandes suivantes ci-dessous.
sudo pacman -S git base-devel git clone https://aur.archlinux.org/trizen.git cd trizen makepkg -sri trizen -S vault-bin
Configuration du serveur Vault
L’application Vault est un serveur qui s’exécute afin que vous puissiez accéder à vos clés dans une interface utilisateur Web conviviale. Il peut également être exécuté sur un réseau et les clés peuvent être accessibles sur Internet; cependant, dans ce guide, nous ne couvrirons que le serveur local.
Comme Vault est un serveur, sous Linux, il doit s’exécuter à partir d’une fenêtre de terminal. Le problème est que l’exécution d’un serveur de terminaux peut être déroutante, surtout si vous êtes nouveau sur Linux. Pour faciliter les choses, nous allons créer un script qui peut exécuter le serveur sur le système sans avoir besoin de s’embarrasser.
Pour créer le script, ouvrez une fenêtre de terminal et utilisez la commande touch et créez un fichier vide appelé vault-server.sh.
touch vault-server.sh
Après avoir créé le fichier vault-server.sh, ouvrez-le dans l’éditeur de texte Nano.
nano -w vault-server.sh
Collez le code ci-dessous dans l’éditeur de texte Nano.
#! / bin / bash
serveur de coffre-fort -dev> ~ / vault-server-info.txt
Enregistrez les modifications avec Ctrl + O et quittez avec Ctrl + X. Ensuite, mettez à jour les permissions du fichier avec la commande chmod.
sudo chmod +x vault-server.sh
Accéder à Vault
Pour accéder à Vault, ouvrez une fenêtre de terminal et exécutez le fichier de script avec la commande ci-dessous.
./vault-server.sh
Au lancement du script, vous verrez une lecture du serveur dans le terminal. Cependant, cette lecture est en constante évolution, nous l’avons donc également redirigée vers un fichier texte dans le répertoire personnel. Ce fichier texte est vault-server-info.txt.
Remarque: chaque fois que vous lancez Vault, le fichier vault-server-info.txt change. Vous devez le vérifier et copier le nouveau jeton ou la connexion ne fonctionnera pas.
Une fois que le serveur est en cours d’exécution, ouvrez le gestionnaire de fichiers Linux, cliquez sur «Accueil», ouvrez vault-server-info.txt et copiez le code après «Root Token:» dans votre presse-papiers. Ensuite, lancez votre navigateur Web préféré et accédez à l’URL ci-dessous.
localhost: 8200 / ui /
Connectez-vous avec la clé de jeton que vous avez copiée depuis vault-server-info.txt.
Arrêtez le serveur
Besoin d’arrêter le serveur Vault? Cliquez sur la fenêtre du terminal exécutant actuellement le script et appuyez sur Ctrl + C.
Utilisation de Vault pour stocker des secrets
Maintenant que le serveur est opérationnel, suivez les instructions étape par étape ci-dessous pour savoir comment garder vos secrets en sécurité dans le coffre-fort.
Étape 1: assurez-vous que vous êtes connecté à l’interface utilisateur Web de Vault dans le navigateur Web. Ensuite, cliquez sur «Secrets» en haut de la page.
Étape 2: Localisez «Cubbyhole» et cliquez dessus avec la souris. Cubbyhole est le moteur secret par défaut que vous pouvez utiliser pour des données arbitraires (mots de passe, informations personnelles, codes d’accès, etc.).
Étape 3: À l’intérieur de Cubbyhole, vous verrez un message indiquant «Pas encore de secrets dans ce backend». Trouvez le bouton «Créer un secret» et cliquez dessus avec la souris.
Étape 4: En cliquant sur «Créer un secret», une fenêtre contextuelle apparaîtra. Dans la fenêtre contextuelle, recherchez «Chemin d’accès à ce secret» et remplissez-le pour décrire le secret. Par exemple, pour stocker un «secret» contenant le mot de passe de votre serveur FTP, vous écririez «mot de passe FTP» dans la zone de chemin.
Étape 5: en suivant le chemin, recherchez « Données secrètes ». À partir de là, recherchez «clé». Dans la zone de clé, entrez une référence au secret que vous souhaitez stocker.
Par exemple, si vous stockez le mot de passe de votre serveur FTP, vous pouvez entrer le nom d’utilisateur du serveur dans «clé». S’il s’agit d’une note, vous pouvez écrire «note n ° 1», etc.
Étape 6: Trouvez «valeur» et entrez le texte que vous souhaitez garder secret. Encore une fois, si, par exemple, il s’agit d’un mot de passe (comme un mot de passe de serveur FTP), entrez le mot de passe dans la case «valeur». Vous pouvez également remplir votre note, votre clé API ou tout autre élément que vous souhaitez sécuriser en tant que secret.
Une fois que tous les champs sont remplis, cliquez sur «Enregistrer» pour enregistrer le secret dans le coffre-fort. Pour accéder à vos secrets enregistrés, assurez-vous que le serveur Vault est en cours d’exécution, connectez-vous à l’interface utilisateur Web et cliquez sur «Cubbyhole».
