Trong bài đăng trước, tôi đã thảo luận về việc sử dụng GPG để bảo mật thông tin đăng nhập cơ sở dữ liệu của bạn. Điều này phụ thuộc vào bản sao cục bộ của cấu hình máy khách MySQL của bạn, nhưng nếu bạn muốn giữ thông tin đăng nhập được lưu trữ an toàn cùng với thông tin siêu bí mật khác thì sao?
Bài đăng này sẽ xem xét cách sử dụng Vault để lưu trữ thông tin đăng nhập của bạn ở vị trí trung tâm và sử dụng chúng để truy cập cơ sở dữ liệu của bạn. Đối với những người chưa biết đến Vault, đây là một cách tuyệt vời để quản lý bí mật của bạn – bảo mật, lưu trữ và kiểm soát chặt chẽ quyền truy cập. Nó có các lợi ích bổ sung là có thể xử lý việc cho thuê, thu hồi chìa khóa, cán chìa khóa và kiểm tra
Trong bài đăng trên blog này, chúng tôi sẽ hoàn thành các nhiệm vụ sau
- để sử dụng cho API của Vault và tự động gia hạn chứng chỉ
- để chạy dưới một người dùng bị hạn chế và truy cập an toàn vào các tệp và API của nó
- để cung cấp kiểm soát truy cập
- và tạo chứng chỉ ứng dụng khách tự ký bằng OpenSSL để sử dụng với ứng dụng khách của chúng tôi
Trước khi tiếp tục, tôi nên gửi một ghi chú nhanh để nói rằng sau đây là một ví dụ nhanh để chỉ cho bạn cách bạn có thể thiết lập và chạy Vault cũng như sử dụng nó với MySQL, đây không phải là hướng dẫn thiết lập sản xuất và không đề cập đến Cao
thời gian tải xuống
Chúng tôi sẽ sử dụng một số công cụ ngoài Vault, Let's Encrypt, OpenSSL và json_pp [tiện ích dòng lệnh sử dụng JSON. PP]. Đối với bài đăng này, chúng tôi sẽ sử dụng Ubuntu 16. 04 LTS và chúng tôi cho rằng chúng chưa được cài đặt
1
$ sudo apt - get install letsencrypt openssl libjson-pp-perl
Nếu bạn chưa nghe nói về Let's Encrypt thì đó là Cơ quan cấp chứng chỉ [CA] miễn phí, tự động và mở cho phép bạn bảo mật trang web của mình hoặc các dịch vụ khác mà không phải trả tiền cho chứng chỉ SSL; . Electronic Frontier Foundation [EFF] cung cấp Certbot, công cụ được đề xuất để quản lý chứng chỉ của bạn, đây là tên mới của phần mềm letsencrypt. Nếu bạn không có letencrypt/certbot trong trình quản lý gói của mình thì bạn có thể sử dụng phương pháp cài đặt nhanh. Chúng tôi sẽ sử dụng json_pp để chỉnh sửa đầu ra JSON từ API Vault và openssl để tạo chứng chỉ ứng dụng khách
Chúng tôi cũng cần tải xuống Vault, chọn tệp nhị phân phù hợp với Hệ điều hành và kiến trúc của bạn. Tại thời điểm viết bài này, phiên bản mới nhất của Vault là 0. 6. 2, vì vậy các bước sau có thể cần điều chỉnh nếu bạn sử dụng phiên bản khác
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
# Tải xuống Vault [Linux x86_64], SHA256SUMS và chữ ký
$ wget https. // bản phát hành. hashicorp. com / kho tiền / 0. 6. 2 / vault_0. 6. 2_linux_amd64. nén
https. // bản phát hành. hashicorp. com / kho tiền / 0. 6. 2 / vault_0. 6. 2_SHA256TỔNG. dấu hiệu
https. // bản phát hành. hashicorp. com / kho tiền / 0. 6. 2 / vault_0. 6. 2_SHA256SUMS
# Nhập khóa GPG
$ gpg -- máy chủ khóa pgp.mit. edu -- recv - phím 51852D87348FFC4C
# Xác minh tổng kiểm tra
$ gpg -- xác minh vault_0.6. 2_SHA256TỔNG. dấu hiệu
gpg. giả sử đã ký dữ liệu trong ` . vault_0.6. 2_SHA256SUMS '
gpg. Chữ ký được lập Thu 06 Tháng 10 . 2016 02:08. 16 BST sử dụng khóa RSA key ID 348FFC4C
gpg. Tốt chữ ký từ "HashiCorp Security
gpg. CẢNH BÁO. Khóa này is không được chứng nhận . with a trusted signature!
gpg. Có có không có chỉ định < . that the signature belongs to the owner.
Khóa chính dấu vân tay. 91A6 E7F8 5D05 C656 30BE F189 5185 2D87 348F FC4C
# Xác minh tải xuống
$ sha256sum -- kiểm tra / vv . pem ssl/vault/fullchain.pem
/ vv / letsencrypt / live/myfirstdomain.com / khóa riêng tư. pem - > / vv . pem ssl/vault/privkey.pem
# Tạo chứng chỉ PEM kết hợp
$ sudo cat / vv/ssl/vault/{cert,fullchain}.pem / vv / ssl . pem vault/fullcert.pem
# Ghi cấu hình vào tập tin
$ con mèo