securite:vault
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
securite:vault [2022/02/02 00:42] – modification externe 127.0.0.1 | securite:vault [2022/04/10 22:35] (Version actuelle) – [Démarrage] sgariepy | ||
---|---|---|---|
Ligne 87: | Ligne 87: | ||
Les données sont persistées et si le serveur redémarre, un init ne sera pas nécessaire. | Les données sont persistées et si le serveur redémarre, un init ne sera pas nécessaire. | ||
+ | |||
+ | |||
+ | |||
+ | ===== Installation de Vault avec systemctl ===== | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | sudo useradd -r -d / | ||
+ | sudo install -o vault -g vault -m 750 -d / | ||
+ | sudo mkdir /etc/vault | ||
+ | sudo nano / | ||
+ | | ||
+ | < | ||
+ | storage " | ||
+ | path = "/ | ||
+ | } | ||
+ | |||
+ | listener " | ||
+ | address = " | ||
+ | tls_disable = 0 | ||
+ | tls_cert_file = "/ | ||
+ | tls_key_file = "/ | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | sudo chown vault:vault / | ||
+ | sudo chmod 640 / | ||
+ | |||
+ | |||
+ | sudo nano / | ||
+ | |||
+ | |||
+ | < | ||
+ | [Unit] | ||
+ | Description=a tool for managing secrets | ||
+ | Documentation=https:// | ||
+ | After=network.target | ||
+ | ConditionFileNotEmpty=/ | ||
+ | |||
+ | [Service] | ||
+ | User=vault | ||
+ | Group=vault | ||
+ | ExecStart=/ | ||
+ | ExecReload=/ | ||
+ | CapabilityBoundingSet=CAP_SYSLOG CAP_IPC_LOCK | ||
+ | AmbientCapabilities=CAP_IPC_LOCK | ||
+ | Capabilities=CAP_IPC_LOCK+ep | ||
+ | SecureBits=keep-caps | ||
+ | NoNewPrivileges=yes | ||
+ | KillSignal=SIGINT | ||
+ | |||
+ | [Install] | ||
+ | WantedBy=multi-user.target | ||
+ | </ | ||
+ | |||
+ | |||
+ | Create a group for key access: | ||
+ | |||
+ | |||
+ | sudo groupadd pki | ||
+ | |||
+ | |||
+ | sudo chgrp pki / | ||
+ | sudo chmod g+rx / | ||
+ | sudo gpasswd -a vault pki | ||
+ | |||
+ | |||
+ | |||
+ | ===== Démarrage ===== | ||
+ | |||
+ | |||
+ | $ sudo systemctl start vault | ||
+ | $ sudo systemctl status vault | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | [[https:// | ||
+ | |||
+ | |||
+ | |||
+ | ====== Migration de Vault ====== | ||
+ | |||
+ | |||
+ | |||
+ | Cette procédure prend en compte Vault 0.11.0 et Ubuntu 18.04. | ||
+ | |||
+ | |||
+ | ===== Sur la machine source ===== | ||
+ | |||
+ | * Compresser les données de ''/ | ||
+ | * Compresser les données de ''/ | ||
+ | * Copier le fichier ''/ | ||
+ | * Copier le fichier de configuration d' | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ===== Sur la machine cible ===== | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | Voir la [[https:// | ||
+ | |||
+ | |||
+ | $ wget https:// | ||
+ | |||
+ | Décompresser avec '' | ||
+ | |||
+ | |||
+ | $ sudo mv vault / | ||
+ | |||
+ | Ajouter le flag suivant pour que Vault puisse verrouiller la mémoire: | ||
+ | |||
+ | $ sudo setcap cap_ipc_lock=+ep / | ||
+ | |||
+ | |||
+ | Pour vérifier que Vault fonctionne jusqu' | ||
+ | |||
+ | $ vault --version | ||
+ | |||
+ | |||
+ | ==== Configuration ==== | ||
+ | |||
+ | Créer un utilisateur Vault: | ||
+ | |||
+ | |||
+ | $ sudo useradd -r -d / | ||
+ | $ sudo install -o vault -g vault -m 750 -d / | ||
+ | |||
+ | |||
+ | Décompresser les fichiers tar aux endroits appropriés et donner les permissions correctes: | ||
+ | |||
+ | $ sudo chown vault:vault / | ||
+ | | ||
+ | | ||
+ | Ensuite, créer le fichier de configuration de systemctl: | ||
+ | |||
+ | $ sudo nano / | ||
+ | |||
+ | Inclure ce contenu: | ||
+ | |||
+ | < | ||
+ | [Unit] | ||
+ | Description=a tool for managing secrets | ||
+ | Documentation=https:// | ||
+ | After=network.target | ||
+ | ConditionFileNotEmpty=/ | ||
+ | |||
+ | [Service] | ||
+ | User=vault | ||
+ | Group=vault | ||
+ | ExecStart=/ | ||
+ | ExecReload=/ | ||
+ | CapabilityBoundingSet=CAP_SYSLOG CAP_IPC_LOCK | ||
+ | AmbientCapabilities=CAP_IPC_LOCK | ||
+ | Capabilities=CAP_IPC_LOCK+ep | ||
+ | SecureBits=keep-caps | ||
+ | NoNewPrivileges=yes | ||
+ | KillSignal=SIGINT | ||
+ | |||
+ | [Install] | ||
+ | WantedBy=multi-user.target | ||
+ | </ | ||
+ | |||
+ | Par défaut, les certificats et les clés sont accessible que par '' | ||
+ | |||
+ | |||
+ | $ sudo groupadd pki | ||
+ | $ sudo chgrp pki / | ||
+ | $ sudo chmod g+rx / | ||
+ | $ sudo gpasswd -a vault pki | ||
+ | |||
+ | |||
+ | Copier le certificat root: | ||
+ | |||
+ | $ sudo mv vault-root.crt / | ||
+ | $ sudo update-ca-certificates | ||
+ | |||
+ | Démarrer Vault: | ||
+ | |||
+ | $ sudo systemctl start vault | ||
+ | |||
+ | Unseal: | ||
+ | |||
+ | $ vault operator unseal < | ||
+ | $ vault operator unseal < | ||
+ | |||
+ | |||
+ | ==== Apache ==== | ||
+ | |||
+ | |||
+ | * Copier le fichier conf dans ''/ | ||
+ | * Créer le répertoire ''/ | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
====== Gestion des secrets ====== | ====== Gestion des secrets ====== |
securite/vault.1643758966.txt.gz · Dernière modification : 2022/02/02 00:42 de 127.0.0.1