vault-服务器密码/证书管理工具

最新推荐文章于 2024-04-20 16:55:35 发布
最新推荐文章于 2024-04-20 16:55:35 发布
阅读量956 收藏 4
点赞数
文章标签: 数据库 后端
原文链接:https://segmentfault.com/a/1190000012959727
版权

vault介绍

vault是什么

vault是一个密码/证书集中式管理工具,通过HTTP-API对外提供统一的密码访问入口,并且提供权限控制以及详细的日志审计功能。

一个系统可能需要访问多个带密码的后端:例如数据库、通过API keys对外部系统进行调用,面向服务的架构通信等等。要将众多系统中的用户和权限对应起来已经非常困难,加上提供密钥滚动功能、安全的存储后端还要有详细的审计日志,自定义解决方案几乎不太可能。这也就是vault存在的意义。

vault的特性

(1)安全的存储后端:任意的键值对密码都能存储在vault。vault在把数据写入存储后端之前会先将数据加密,所以即使你直接读取存储后端数据也无法拿到真正的数据。vault的存储后端可以是文件、Consul、etcd等等

(2)动态密码生成:vault能够按需生成某些后端的密码,例如:AWS、SQL数据库等等。例如当一个应用需要访问AWS的S3 bucket,应用向vault请求访问S3 bucket的证书,vault能按需生成一个指定权限的AWS密钥,并且能够根据租期自动销毁这个密钥。

(3)数据加密:vault可以在不对数据存储的情况下,对数据进行加密和解密。安全团队只需定义好加密方法,开发将加密后的数据存储在例如SQL之类的后端即可,而无需设计自己的加密方式。

(4)租期和续租:在vualt里面,全部的密码都可以跟租期联系起来。在租期结束时,vault会自动销毁对应的密码。客户端能够通过renew-API进行续租。

(5) 销毁:vault本身支持对密码进行销毁,不仅支持销毁单个密码,还支持销毁与之关联的密码。比如指定某个用户读取的全部密码,或者特定类型的密码。销毁功能能够在密码被泄露的时候辅助锁定系统。

vault的使用场景

(1) 作为集中存储各个服务器账号密码的服务器。目前我们有服务器需要访问到有密码的后端的时候,有几种方案:

  • export到环境变量
  • 写死到代码里面
  • 上线的时候使用自动化工具对变量进行替换

第一种方案带来的问题是使用麻烦,后两种方案带来的问题是维护和变更麻烦。比如DB密码泄露,需要修改密码,首先DBA修改密码,然后通知到应用,应用再做代码上的变更。如果使用vault的话,DBA只要在vault上面修改好密码之后通知应用重新从vault拉取最新密码就行了。

(2)为每一个操作单位动态分配账号

比如过去我们想要对某些敏感操作进行审计,但是由于生成账号比较麻烦,所以存在公用账号的情况。vault支持为某些后端动态生成账号的功能,比如SQL,当某个应用向vault请求账号密码的时候,vault能够为每次请求生成一个独一无二的SQL账号密码。

(3) 作为证书服务器

vault能够作为CA服务器,根据请求信息自动颁发证书。并且提供在线CA和CRL的功能。不过目前只能在vault里面新生成ROOT-CA,不能导入原有的ROOT-CA。

(4)作为OAUTH服务器

vault支持多种认证后端,比如github、kubernetes、账号密码等等。vault能够将这些账号关联成一个用户,在用户认证之后返回一个token供用户使用。

最简单的vault服务器

以Linux-64bit系统为例

# 下载 vault
wget https://releases.hashicorp.com/vault/0.9.1/vault_0.9.1_linux_amd64.zip
unzip vault_0.9.1_linux_amd64.zip

# 启动dev模式,此模式下任何改动都在内存中进行,数据不会保存

./vault server -dev

# 启动信息
# ==> Vault server configuration:
# ...
# Unseal Key: 0Gg1yc/qY2W3f82DnxcZTEjdvMuxpjOV5nzNnVrMy4U=
# Root Token: eb45cfe5-9cca-3b23-5416-49f2febeb59c
# ...

# 我们能看到vault自动监听在了127.0.0.1:8200,并自动为我们生成了unseal-key以及root-token

# 启封 vault,在使用vault之前首先要对vault进行启封,才能对vault进行后续操作。使用上面生成的uneal-key,其实dev模式下默认是已经启封状态
vault unseal 0Gg1yc/qY2W3f82DnxcZTEjdvMuxpjOV5nzNnVrMy4U=
# 认证,使用上面的Root Token
vault auth eb45cfe5-9cca-3b23-5416-49f2febeb59c
# 将vault地址写入环境变量
export VAULT_ADDR='http://127.0.0.1:8200'
# 使用vault-cli操作vault,实际上后台是调用通过HTTP-API来操作vault
# 写入密码,在此你可以写入任意的键值对
vault write secret/vault host=127.0.0.1 password=123456

clipboard.png

# 读取刚刚写入的密码
vault read secret/vault

clipboard.png

结语

当然vault能做的远远不止上面的键值对存储和读取,这里主要对vault的使用做一个大概的介绍,以及简单使用,后面会深入讲解vault的各个组件以及高级用法。

weixin_34014555
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vault, 生成安全密码,这样你就不需要记住它们.zip
10-10
vault, 生成安全密码,这样你就不需要记住它们 库 vault 是一个简单的密码管理器。 给出口令和服务的NAME 后,它将为该服务返回一个强密码。 你只需要记住你的密码,你不会给任何人,vault 会为你所使用的每个服务提供不同的密码密码短语可以是任何你喜欢的文字。给定同样
vault-ui:Vault-UI —用React编写的用于管理Vault的漂亮UI
02-02
Vault-UI 管理Hashicorp保管库的绝妙方法 产品特点 易于部署为Web App 桌面版适用于Mac,Linux和Windows 材质UI设计 集成JSON编辑器 写在React 安装 桌面版 Vault-UI桌面可用于以下操作系统: 视窗 苹果系统 Linux(32位和64位AppImage) 从发行页面下载最新版本并安装/运行软件 网络版 Vault-UI可以作为组织的共享Web应用程序进行部署 Docker映像是使用的。 我们建议将版本化的图像用于生产。 要使用最新的Docker映像运行Vault-UI,请执行以下操作: docker run -d \ -p 8000:8000 \ --name vault-ui \ djenriquez/vault-ui 高级配置选项 默认情况下,必须通过单击登录页面上的配置cog来配置连接和身份验证参数。 使用环境变量(通过docker),管理员可以预先配置这些参数。 用于预配置Vault服务器URL和身份验证方法的示例命令 docker run -d \ -p 8000:8000 \ -e VAULT_URL_D
vault-ssh:保险库签名的SSH证书管理
04-12
保险库签名的SSH证书管理器 CLI command to manage SSH connections with Vault Usage: vault-ssh [command] Available Commands: certificate Manages certificates for SSH engine. enable Enables SSH Engine. help Help about any command role Manages roles for SSH engine. sign Signs given public key with SSH engine and role. version Print the version/build number Flags: -h,
vault:Python密码管理
05-23
金库 Vault是一个简单的Python密码管理器。 它使您可以通过简单的CLI界面安全地保存机密。 特征 机密信息使用存储在加密SQLite数据库中 在数据库中,每个密码和注释均使用进行AES-256加密并使用唯一的盐进行加密 主密钥用唯一的盐进行哈希处理 可以创建无限数量的保管库 剪贴板自动清除 闲置后自动保管库锁定 使用密码建议 在Json中导入/导出 基本用法 安装与设定 安装sqlcipher Vault 2.x要求在您的计算机上安装sqlcipher 。 在MacOS上,可以使用安装它: brew install sqlcipher # Install sqlcipher3 pip3 install sqlcipher3==0.4.5 # If you are getting an error "Failed to build sqlcipher3", you woul
密码管理软件 myvault-1.6.5.zip
08-13
完全绿色免费的密码管理软件工具,使用非常方便,安利给大家!
SpringCloud搭建微服务之Vault密钥管理
liu320yj的博客
01-31 1961
Vault是一款管理密钥和保护敏感数据的组件,用于保护、存储和严格控制对令牌、密码证书和加密密钥的访问,可以使用UI客户端、CLI和HTTP API访问密钥和其他敏感数据
服务器密码机主要功能及特点 安当加密
www.andang.cn
11-05 1201
因此,在进行数据库字段加密时,建议咨询专业的安全顾问或厂商的技术支持人员,以确保加密方案的合理性和有效性。综上所述,硬件加密相比软件加密具有更高的安全性、更快的加密速度、更好的即时响应能力、更易于扩展、独立于操作系统、易于管理等优点。启动数据库字段加密:在服务器密码机的控制台中启动数据库字段加密操作。配置数据库字段加密选项:在服务器密码机的配置界面中,选择需要加密的数据库字段选项,并设置加密算法和密钥。测试数据库字段加密:在加密完成后,使用测试数据测试数据库字段的加密和解密功能,以确保加密效果符合预期。
如何使用Vault安全的存储密码和API密钥
weixin_33935505的博客
05-02 403
如何使用Vault安全的存储密码和API密钥 Vault是用来安全的获取秘密信息的工具,它可以保存密码、API密钥、证书等信息。Vault提供了一个统一的接口来访问秘密信息,其具有健壮的访问控制机制和丰富的事件日志。 对关键信息的授权访问是一个困难的问题,尤其是当有许多用户角色,并且用户请求不同的关键信息时,例如用不同权限登录数据库的登录配置,用于外部...
如何在建木CI中使用Vault管理密钥
Jianmu_Dev的博客
12-13 600
大家好呀! 最近在使用建木CI部署项目的过程中,集成了Vault,感觉还挺有意思的,这里给大家分享一下我集成的过程吧! 首先贴上建木CI和Vault的介绍,需要了解更多的小伙伴戳链接: 建木CI :https://jianmu.dev/ Vault:https://www.vaultproject.io/ 建木CI以触发器、流程编排、任务分发等功能为平台核心,可以应用在各类使用场景下,包括但不限于,CI/CD、DevOps、自动化运维、多业务系统集成等场景。 Vault 是一个基于身份的机密和加密管理系统
Vault X.509 证书管理
weixin_34337265的博客
12-20 285
DEC 06 2018 CHRISTIE KOEHLERIn this blog post, we’ll look at practical public key certificate management in Vault, which uses a dynamic secrets approach.HashiCorp Vault provides secrets management and...
vault-ssh-key-helper:CLI 工具和随附的服务器,可帮助使用 Hashicorp Vault 进行 SSH 证书签名
05-30
vault-ssh-key-helper CLI 工具和随附的服务器,可帮助使用 Hashicorp Vault 进行 SSH 证书签名 问题 您正在使用 Hashicorp Vault 来满足您的机密管理需求 您还使用 Vault 来签署用于访问您的 SSH 服务器的 SSH 证书 您的 Vault 实例位于堡垒服务器之后,如果没有签名的 SSH 证书,您将无法访问该服务器 那么,如果 Vault 是生成 SSH 证书的东西,您如何获得签名的 SSH 证书以连接到堡垒服务器以访问 Vault? 解决方案 这是一个命令行助手和随附的 Web 服务器,用于从 Vault 检索签名的 SSH 证书,而实际上不会将 Vault 暴露给公共互联网。 它适用于可能有大量用户访问 Vault 的组织,并且您已经为 Vault 实施了 JWT 身份验证后端,以便用户可以使用兼容 OpenID Conn
hashicorp-vault-monitor:HashiCorp保险库监控工具
05-10
Hashicorp保险库监控器 如何构建源代码 [ "$GOPATH" ] || export GOPATH="$HOME/go" go get -u github.com/madrisan/hashicorp-vault-monitor export PATH="$PATH:$GOPATH/bin" $GOPATH/bin/hashicorp-vault-monitor -version (可选)如果要为所有受支持的操作系统编译此工具: make -C $GOPATH/src/github.com/madrisan/hashicorp-vault-monitor bootstrap dev 您将在$GOPATH//src/github.com/madrisan/hashicorp-vault-monitor/pkg/文件夹中找到已编译的二进制文件。 如何使用hashicorp-vaul
Vault介绍
流浪法师的博客
05-22 1024
Vault 是一个广泛使用的开源工具,用于安全地存储和管理机密信息,如密码证书、API 密钥和访问令牌等,从而提高安全性。
Vault从入门到精通系列之一:深入了解安全工具VaultVault根令牌和解封密钥,详细整理部署Vault的详细步骤
zhengzaifeidelushang的博客
06-19 2598
至此成功安装部署Vault 下一篇详细了解下如何应用安全工具Vault
Vault: 基础教程之内置帮助及认证
博客
08-11 2735
四、内置帮助 现在你已经使用过键值对的密码引擎及AWS下的动态密码生成了,在两个例子之中,结构是使用都是不一样的,那么你要如何记住使用什么路径呢,vault里面有内置的帮助系统,可以通过api或者命令行访问,同时生成可读的帮助信息。 首先我们还是启用aws,通过vault secrets enable -path=aws aws来启用,然后即可使用vault path-help aws来查看路...
Vault: 基础教程之密码引擎及动态密码生成
博客
08-11 3156
二、密码引擎 在前面看到的所有密码的写入和读出,你可能发现他们都是以secret/开头的,尝试一下不同的前缀: vault write foo/bar a=b 会得到一个错误:no handler for route 'foo/bar'。 因此,前缀代表的是vault所用的密码引擎,默认为secret/。 启动密码引擎 使用命令vault secrets enable -p...
vault配置指南
雾里华的博客
01-04 864
vault配置指南
Vault从入门到精通系列之二:启动Vault服务器
zhengzaifeidelushang的博客
06-19 1402
Vault 作为客户端-服务器应用程序运行。Vault 服务器是唯一与数据存储和后端交互的 Vault 架构。通过 Vault CLI 完成的所有操作都通过 TLS 连接与服务器交互。在本篇博客中,启动以开发模式运行的 Vault 服务器并与之交互。
mysql和Nosql到底有什么区别,分别应用与什么场景?
最新发布
m0_60388871的博客
04-20 497
MySQL 和 NoSQL 是两种不同类型的数据库技术,它们各有其特点和适用场景。了解它们之间的区别和应用场景可以帮助选择合适的技术来支持特定的应用需求。
stress-ng 在/centos-vault/7.9.2009/的哪个文件夹下?
06-06
在 CentOS Vault 存储库中,stress-ng 可能存储在以下路径中: ``` /centos-vault/7.9.2009/os/x86_64/Packages/ ``` 请注意,CentOS Vault 存储库包含之前版本的 CentOS 软件包。因此,您需要查找与您的 CentOS 版本和架构匹配的 stress-ng 软件包。 为了查找与您的 CentOS 版本和架构匹配的 stress-ng 软件包,您可以使用以下命令: ``` sudo yum --disablerepo="*" --enablerepo="centosvault" list available stress-ng ``` 该命令将列出 CentOS Vault 存储库中可用的所有 stress-ng 软件包。然后,您可以从中选择与您的 CentOS 版本和架构匹配的软件包进行安装。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值