Vault部署保姆级教程

置顶 已于 2023-06-28 10:53:30 修改
阅读量1.3k 收藏 1
点赞数 1
分类专栏: Vault 文章标签: 网络安全
于 2023-06-27 13:51:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weare001/article/details/131413961
版权

Vault部署

官方文档:Install | Vault | HashiCorp Developer

软件运行环境

操作系统发行版及版本:自己选

Vault版本:XXXX

Vault配置文件路径:/etc/vault.d/vault.hcl

Vault环境变量路径:/etc/vault.d/vault.env

Vault TLS文件路径:/opt/vault/tls(Qqun830709780)

MySQL版本:最新就行

库名:vault

表名:vault

账号:自己创建

安全加固

安全加固官方文档

部署过程

1 安装vault

# 操作系统Debian

# 安装版本:开源 1.13.1

apt install gpg
 wget -O- https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor -o /usr/share/keyrings/hashicorp-archive-keyring.gpg
 echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] https://apt.releases.hashicorp.com $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/hashicorp.list
sudo apt update && sudo apt install vault

2 准备mysql环境

后端存储:MySQL

MySQL版本:XXX

MySQL个数:1

MySQL备份:每天一全备

地址:IP

库名:vault 表名:vault

账号:username/password

3 建立自己的证书颁发机构 (CA)(server)

# 创建 CA 私钥,生成一个新的私钥文件 ca.key
openssl genrsa -out ca.key 4096

# 接下来,使用以下命令自签名生成 CA 证书
openssl req -new -x509 -days 36500 -key ca.key -out ca.crt -subj "/C=国家/ST=省份/L=城市/O=公司/OU=组织/CN=域名"

# 效验 CA 证书
openssl x509 -noout -text -in ca.crt

# 创建 Server 私钥,生成一个新的私钥文件 serverkey.pem
openssl genrsa -out server.key 2048

# 创建服务器证书请求,使用以下命令生成服务器证书请求
openssl req -new -key server.key -out server.csr -subj "/C=国家/ST=省份/L=城市/O=公司/OU=组织/CN=域名"
  
# 使用 CA 签署服务器证书,向 CA 提交服务器证书请求文件 server.csr。接下来,使用以下命令生成服务器证书
echo subjectAltName=IP:127.0.0.1,IP:10.8.64.201,IP:10.8.64.7 > extfile.cnf
echo 01 > ca.srl
openssl x509 -req -extfile extfile.cnf -days 18250 -CA ca.crt -CAkey ca.key -in server.csr -out server.crt

# 最后,将生成的 servercert.pem serverkey.pem 文件安装到 Web 服务器上,以供 SSL/TLS 连接使用

4 服务器证书准备

tls_cert_file = /opt/vault/tls/server.crt

tls_key_file = /opt/vault/tls/server.key

  • 将ca.crt文件放到服务器/etc/ssl/certs目录下

5 配置文件

ui = true
disable_mlock = false

storage "mysql" {
  address = "IP:3306"
  username = "vault"
  password = "xxxxxxx"
  database = "vault"
  table = "vault"
  ha_enabled = "true"
  max_connection_lifetime = "7200"
  max_idle_connections = "5"
  max_parallel = "128"
}

listener "tcp" {
  address = "0.0.0.0:8200"
  tls_cert_file = "/opt/vault/tls/server.crt"
  tls_key_file  = "/opt/vault/tls/server.key"
  tls_disable = false
  telemetry {
    unauthenticated_metrics_access = true
  }
}

api_addr = "https://IP:8200"
cluster_addr = "https://ip:8201"
cluster_name = "cluster-name"

log_level = "trace"
log_format = "json"
log_file = "/opt/vault/log/server/"
log_rotate_bytes = "102400"
log_rotate_max_files = "200"

telemetry {
  prometheus_retention_time = "300s"
  disable_hostname = true
}

在var/log下面,创建目录/var/log/vault,授权目录给vault用

6 启动服务

# 启动服务
systemctl start vault.service
# 开机自动重启
systemctl enable vault.service

7 初始化(生成的解封密钥通过GPG加密)

vault operator init -key-shares=3 -key-threshold=2

也可以将unseal key进行加密。

8 解封

vault operator unseal

9 创建审计设备

# 在opt/vault下面,创建目录/opt/vault/log,授权目录给vault用户
mkdir -p /opt/vault/log/audit
chown vault:vault /opt/vault/log/audit
# 创建审计设备(需先创建好vault_audit.log,并修改该文件所有者和组)(登录root进去创建)
vault audit enable file file_path=/opt/vault/log/audit/vault-audit.log
# 注意:每个节点需要单独创建独立的日志设备(官方建议)(加入日志轮换)

10 集群部署

# 配置这些参数
api_addr = "https://127.0.0.1:8200"
cluster_addr = "https://<Node-1-IP>:8201"
cluster_name = "vault-XX-cluster"

11 接入LDAP

vault write -f auth/ldap/config \
    url="ldap://ldap地址" \
    userfilter:"(&(memberOf=cn=xxx,ou=xxx,ou=xxxx,dc=xxxx,dc=xxx)(uid={{.Username}}))" ........

12 用户MFA二次认证接入

  1. 创建一个TOTP方法,并将该方法的强制执行绑定到LDAP身份认证方式
  2. 为每个LDAP用户分配TOTP验证码(通过邮箱等留底的方式)
# 生成该实体的TOTP二维码或者secreet密钥
vault write identity/mfa/method/totp/admin-generate method_id=METHOD_ID entity_id=ENTITY_ID

13 创建实体、分组

  1. 先登录,再给每个ldap用户改实体名(实体名字和别名和ldap用户名一样)

注意事项

Vault的不安全机制:

Vault在通过CLI登录后,会在发出命令的用户账户的主目录中创建一个名为 .vault-token 的隐藏文件,该文件记录了当前登录用户的token,且为明文;并且当其他用户登录该服务器之后,仍然可以看到这个隐藏的.vault-token文件,能够直接使用之前用户登录状态操作vault及明文查看它的token。

目前官方在CLI界面没有logout操作指令,故在每次使用完之后,需手动删除自己的 .vault-token文件

流浪法师12
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
三.使用HashiCorp Vault工具管理数据库
Java
05-16 1257
ubuntu安装使用HashiCorp Vault工具管理数据库
hashicorp-labs:在VM上本地部署Vault,Consul和Nomad组成的Hashicorp集群。 准备部署和测试您的应用程序
04-05
它将为Vault , Consul和Nomad部署一个群集,其中每个组件都将连接在一起,以形成一个完美的环境,用于使用服务网格测试您的应用程序。 目录 使用Vagrant安装集群 警告:目前,群集将以dev模式加载。 如果服务失败...
Vault从入门到精通系列之二:启动Vault服务器
zhengzaifeidelushang的博客
06-19 1678
Vault 作为客户端-服务器应用程序运行。Vault 服务器是唯一与数据存储和后端交互的 Vault 架构。通过 Vault CLI 完成的所有操作都通过 TLS 连接与服务器交互。在本篇博客中,启动以开发模式运行的 Vault 服务器并与之交互。
网络安全】什么是网络安全网络安全类型(4)
2401_84264010的博客
04-28 584
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
Vault部署保姆教程_如何安装配置vault服务器,2024年最新海量算法高频面试题精编解析
04-15 431
在var/log下面,创建目录/var/log/vault,授权目录给vault用。账号:username/password。库名:vault 表名:vault。MySQL备份:每天一全备。MySQL版本:XXX。后端存储:MySQL。
网络安全最新从零用Docker搭建CTFd静态靶场,汉化,去广告(2024 04 01)(5),2024年最新网络安全程序员进大厂面试必备基础技能
weixin_57992300的博客
05-10 646
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
vault配置指南
雾里华的博客
01-04 916
vault配置指南
配置管理Vault工具的使用教程DOC
03-20
配置管理Vault工具的使用教程DOC Vault 是一种配置管理工具,旨在帮助项目开发组的负责人对项目程序进行管理,将所有的项目源文件(包括各种文件类型)以特有的方式存入数据库。开发组的成员不能对该数据库中的...
Vault实施文档.doc
02-21
Vault实施文档 Vault实施文档是NetBackup的一个组件,用于提供自动化的备份和恢复功能。下面是Vault实施文档的重要知识点: 一、VAULT安装配置 Vault功能在安装NBU Server时已经安装,不需要单独安装,只...
vault-terraform-demo:在GKE中使用Terraform部署HashiCorp Vault
02-04
本文将深入探讨如何利用Terraform这一强大的基础设施即代码(IaC)工具,在Google Kubernetes Engine (GKE) 上部署HashiCorp Vault,一个专为安全存储和管理敏感信息而设计的服务。我们将详细讨论“vault-terraform-...
Inventor高培训教程
11-24
- 探讨与Autodesk Vault等协同设计工具的集成,提升团队工作效率。 通过《Inventor高培训教程》,学员将不仅掌握Inventor的基本操作,还能深入理解其高功能,从而在实际工作中提升设计质量和效率,推动创新...
推荐开源项目:vault-init——自动化管理HashiCorp Vault的得力助手
最新发布
gitblog_00031的博客
06-12 250
推荐开源项目:vault-init——自动化管理HashiCorp Vault的得力助手 项目地址:https://gitcode.com/kelseyhightower/vault-init 在当今云计算时代,安全地存储和管理敏感数据变得至关重要。【vault-init】正是为此而生,一个专为简化HashiCorp Vault初始化与解封流程设计的开源工具,尤其适用于**Google Cloud...
二、vault - vault的架构
zrk1000的专栏
05-23 6603
前面对vault的使用做了简单使用,有了具体化的认识,下面对vault进行详细的说明。vault架构:
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 3910
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
Oracle数据安全解决方案系列-----Database Vault安装
cnbird's blog
04-14 3791
http://space.itpub.net/3704/viewspace-559855 http://www.red-database-security.com/wp/installing_oracle_datavault.pdf 现在在安全方面谈及比较热的话题是啥,大家搜索下就会发现, SOX, Basel II, HIPAA, J-SOX, GLB, Privacy laws
Vault部署及创建密钥管理服务
PySean的博客
06-26 3004
安装 源码编译安装(需要Golang和Git环境,具体步可骤参见网上) 源码下载到GOPATH git clone https://github.com/hashicorp/vault 进入代码目录,编译(因为编译需要安装相关库,所以需要使用代理) cd $GOPATH/src/github.com/hashicorp/vault/ make dev 预编译的Vault二进制...
Vault: 基础教程部署
博客
08-11 4837
七、部署vault 配置 vault使用HCL文件配置: storage &quot;consul&quot; { address = &quot;127.0.0.1:8500&quot; path = &quot;vault/&quot; } listener &quot;tcp&quot; { address = &quot;127.0.0.1:8200&quot; tls_disa
安装使用Vault
y_m_h的博客
08-13 1056
1.下载Vault v1.2.1。 wget https://releases.hashicorp.com/vault/1.2.1/vault_1.2.1_linux_amd64.zip 注:不同版本的Vault语法不同。 2.将Vault v1.2.1解压到指定目录/opt/software/vault,并配置环境变量。 unzip vault_1.2.1_linux_amd64.z...
Vault: 基础教程之入门及使用介绍
热门推荐
博客
08-11 2万+
vault介绍 vault 是一个强大的密码管理工具,它基于命令行,是开源的。 vault是非常强大的,它具有如下特性: 1. 安全密码存储 2. 动态密码生成 3. 数据加密 4. 租期及更新 5. 废弃 下面来一步步介绍vault。 一、使用入门 首先我们使用vault server -dev开启vault的开发服务器,此服务器仅仅用于开发环境,生产环境下使用会导致不安...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流浪法师12

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值