Vault部署保姆级教程_如何安装并配置vault服务器，2024阿里网络安全高级面试题总结

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

效验 CA 证书

openssl x509 -noout -text -in ca.crt

创建 Server 私钥，生成一个新的私钥文件 serverkey.pem

openssl genrsa -out server.key 2048

创建服务器证书请求,使用以下命令生成服务器证书请求

openssl req -new -key server.key -out server.csr -subj “/C=国家/ST=省份/L=城市/O=公司/OU=组织/CN=域名”

使用 CA 签署服务器证书,向 CA 提交服务器证书请求文件 server.csr。接下来，使用以下命令生成服务器证书

echo subjectAltName=IP:127.0.0.1,IP:10.8.64.201,IP:10.8.64.7 > extfile.cnf
echo 01 > ca.srl
openssl x509 -req -extfile extfile.cnf -days 18250 -CA ca.crt -CAkey ca.key -in server.csr -out server.crt

最后，将生成的 servercert.pem serverkey.pem 文件安装到 Web 服务器上，以供 SSL/TLS 连接使用

### 4 **服务器证书准备**



> 
> tls\_cert\_file = /opt/vault/tls/server.crt
> 
> 
> tls\_key\_file = /opt/vault/tls/server.key
> 
> 
> 


* **将ca.crt文件放到服务器/etc/ssl/certs目录下**


### 5 **配置文件**

ui = true
disable_mlock = false

storage “mysql” {
address = “IP:3306”
username = “vault”
password = “xxxxxxx”
database = “vault”
table = “vault”
ha_enabled = “true”
max_connection_lifetime = “7200”
max_idle_connections = “5”
max_parallel = “128”
}

listener “tcp” {
address = “0.0.0.0:8200”
tls_cert_file = “/opt/vault/tls/server.crt”
tls_key_file = “/opt/vault/tls/server.key”
tls_disable = false
telemetry {
unauthenticated_metrics_access = true
}
}

api_addr = “https://IP:8200”
cluster_addr = “https://ip:8201”
cluster_name = “cluster-name”

log_level = “trace”
log_format = “json”
log_file = “/opt/vault/log/server/”
log_rotate_bytes = “102400”
log_rotate_max_files = “200”

telemetry {
prometheus_retention_time = “300s”
disable_hostname = true
}

在var/log下面，创建目录/var/log/vault,授权目录给vault用


### 6 启动服务

启动服务

systemctl start vault.service

开机自动重启

systemctl enable vault.service

### 7 初始化(生成的解封密钥通过GPG加密)

vault operator init -key-shares=3 -key-threshold=2

也可以将unseal key进行加密。


### 8 **解封**

vault operator unseal

### 9 创建审计设备

在opt/vault下面，创建目录/opt/vault/log,授权目录给vault用户

mkdir -p /opt/vault/log/audit
chown vault:vault /opt/vault/log/audit

创建审计设备(需先创建好vault_audit.log,并修改该文件所有者和组)（登录root进去创建）

vault audit enable file file_path=/opt/vault/log/audit/vault-audit.log

注意：每个节点需要单独创建独立的日志设备（官方建议）(加入日志轮换)

![](https://img-blog.csdnimg.cn/318ea27667da419ab497df5b88f02037.png)



### 10 集群部署

配置这些参数

api_addr = “https://127.0.0.1:8200”
cluster_addr = “https://:8201”
cluster_name = “vault-XX-cluster”

### 11 **接入LDAP**

vault write -f auth/ldap/config
url=“ldap://ldap地址”
userfilter:“(&(memberOf=cn=xxx,ou=xxx,ou=xxxx,dc=xxxx,dc=xxx)(uid={{.Username}}))” …

### 12 用户MFA二次认证接入


1. 创建一个TOTP方法，并将该方法的强制执行绑定到LDAP身份认证方式
2. 为每个LDAP用户分配TOTP验证码(通过邮箱等留底的方式)

生成该实体的TOTP二维码或者secreet密钥

vault write identity/mfa/method/totp/admin-generate method_id=METHOD_ID entity_id=ENTITY_ID

### 13 创建实体、分组


1. 先登录，再给每个ldap用户改实体名（实体名字和别名和ldap用户名一样）



## **注意事项**



## 写在最后

**在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。**


需要完整版PDF学习资源私我





**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
![img](https://img-blog.csdnimg.cn/img_convert/6d00f0b987b2c9363f82c0870a6f3756.png)

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
[外链图片转存中...(img-dQhkIpL6-1713414335469)]

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**