Présentation
Coffre stocke, contrôle et protège les données utilisées pour l'authentification et l'autorisation. Vault est un système de gestion des secrets, restreignant ou approuvant l'accès aux mots de passe, certificats ou API. Il fournit également le chiffrement des données, les secrets à la demande et la révocation.
Dans ce didacticiel, découvrez comment installer Vault sur CentOS et exécuter Vault en tant que service.
Prérequis
- Un système Linux CentOS
- Un compte utilisateur avec sudo privilèges
- Accès à une ligne de commande/fenêtre de terminal (Ctrl +Alt +F2 )
Installer Vault à partir du binaire sur CentOS
1. Avant d'installer Vault, créez un nouveau répertoire sous Linux à l'aide de la commande mkir pour stocker le package binaire et les autres données nécessaires au logiciel. Pour illustrer, nous allons le nommer "répertoire" et exécuter la commande suivante pour le créer :
sudo mkdir -p /opt/vault/directory2. Une fois le répertoire configuré, passez au téléchargement du binaire à partir du site Web officiel de Vault. Accédez au site Web et cliquez sur l'icône de téléchargement bleue.
3. Trouvez le package approprié pour votre système d'exploitation CentOS (Linux) et cliquez sur la vignette.
4. Vous verrez l'icône Linux et un bouton Télécharger. Faites un clic droit sur le bouton et sélectionnez Copier l'emplacement du lien.
5. Ensuite, revenez à la ligne de commande. Utilisez le wget commande et l'emplacement du lien que vous avez copié à l'étape précédente pour télécharger le binaire :
sudo wget https://releases.hashicorp.com/vault/1.2.3/vault_1.2.3_linux_amd64.zip6. Ensuite, décompressez le package à l'aide de la commande :
unzip vault_1.2.3_linux_amd64.zip
7. Après avoir décompressé, tapez :
sudo chown root:root vaultsudo mv vault /usr/local/bin/ (or to som other DIR that's present in your $PATH8. Vérifiez que Vault est en cours d'exécution avec la commande :
vault --versionLa sortie affiche la version de Vault en cours d'exécution sur le système.
Pour plus d'informations, vous pouvez appeler la page d'aide avec la commande :
vaultConfigurer Vault
Créer un utilisateur de service pour Vault
Il est préférable de considérer la sécurité des comptes privilégiés et d'avoir un utilisateur système non privilégié distinct pour exécuter un serveur Vault.
Utilisez la commande suivante pour créer un utilisateur système et accorder la propriété du répertoire d'installation :
sudo useradd --system -home /etc/vault.d - shell /bin/false vaultVérifiez si vous avez réussi à créer l'utilisateur du service avec :
sudo grep vault /etc/passwdLe résultat doit afficher quelque chose comme la ligne ci-dessous :
vault:x:997:995::/etc/vault.d:/bin/falseExécuter Vault en tant que service
Pour exécuter Vault en tant que service, vous devez également créer un nouveau fichier de service Systemd :
sudo vi/etc/systemd/system/vault.serviceAjoutez ensuite le contenu ci-dessous :
[Unit]
Description="HashiCorp Vault - A tool for managing secrets"
Documentation=https://www.vaultproject.io/docs/
Requires=network-online.target
After=network-online.target
ConditionFileNotEmpty=/etc/vault.d/vault.hcl
StartLimitIntervalSec=60
StartLimitBurst=3
[Service]
User=vault
Group=vault
ProtectSystem=full
ProtectHome=read-only
PrivateTmp=yes
PrivateDevices=yes
SecureBits=keep-caps
AmbientCapabilities=CAP_IPC_LOCK
Capabilities=CAP_IPC_LOCK+ep
CapabilityBoundingSet=CAP_SYSLOG CAP_IPC_LOCK
NoNewPrivileges=yes
ExecStart=/usr/local/bin/vault server -config=/etc/vault.d/vault.hcl
ExecReload=/bin/kill --signal HUP $MAINPID
KillMode=process
KillSignal=SIGINT
Restart=on-failure
RestartSec=5
TimeoutStopSec=30
StartLimitInterval=60
StartLimitIntervalSec=60
StartLimitBurst=3
LimitNOFILE=65536
LimitMEMLOCK=infinity
[Install]
WantedBy=multi-user.targetActivez et démarrez le service avec les commandes :
sudo systemctl enable vault.servicesudo systemctl start vault.servicePréparez-vous à administrer Vault
L'étape suivante consiste à déplacer le répertoire Vault bin vers la variable d'environnement PATH avec la commande :
export PATH=$PATH:/opt/vault/bin
echo "export PATH=$PATH:/opt/vault/bin" >> ~/.bashrc
Ensuite, définissez les variables d'environnement pour Vault en tapant :
export VAULT_ADDRESS=http://10.128.0.2:8200
echo "export VAULT_ADDR=http://10.128.0.2:8200" >> ~/.bashrcInitialiser et desceller votre coffre-fort
Pour initialiser et desceller Vault, vous devez d'abord démarrer Vault en tant que serveur en mode dev . Cependant, assurez-vous de ne pas exécuter un serveur de développement en production.
Exécutez la commande suivante :
vault server -devLa commande produit une sortie qui inclut la configuration du serveur , la clé de descellement , et jeton racine . Enregistrez les valeurs de la clé de descellement et du jeton racine, car vous en aurez besoin dans les étapes suivantes.
Commencez par définir la variable d'environnement. Vous trouverez cette commande dans le résultat des étapes précédentes :
export VAULT_ADDR=’http://127.0.0.1:8200’Ensuite, exécutez la commande suivante avec les informations de la sortie du serveur de développement :
export VAULT_DEV_ROOT_TOKEN_ID=”XXXXXXXXXXXXXXXX”Vérifiez l'état du serveur :
valut statusLa sortie doit indiquer que Vault est maintenant initialisé et n'est plus scellé.
Key Value
--- -----
Seal Type shamir
Initialized true
Sealed false
Total Shares 1
Threshold 1
Version 1.2.3
Cluster Name vault-cluster-18e6bce0
Cluster ID 16382125-eb14-f23a-8145-ad64eee072cf
HA Enabled false