freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

Vault: 密码管理蓝队篇(上)
r0bepr 2025-01-05 16:50:40 53824
所属地 湖南省

介绍

本文是《Vault防守视角》的上篇,旨在为读者介绍Vault的使用基础,并通过讲解Vault的几个核心模块,帮助理解Vault如何在数据保护和密钥管理中发挥关键作用。Vault作为一个强大的安全工具,提供了加密、密钥管理、身份验证等多种功能,适用于保护敏感信息和管理动态凭证。通过深入了解Vault的核心模块,读者将能更好地掌握其基础操作和安全架构。

在下篇中,我们将转向更具应用场景的研究,分析Vault在面对常见安全威胁时的解决方案和最佳实践。

安全场景思考

在进入正文之前,先抛出几个值得思考的问题,大家可以在阅读文章时尝试寻找答案或思考解决思路。

  • 如何避免 Web 应用中数据库密码的明文配置问题?
    在传统配置方式中,数据库密码往往以明文形式存储在配置文件中,这会带来哪些安全隐患?又有哪些更安全的处理方式?

  • 当一个数据库账号和密码同时被多个系统或应用共用时,如何更高效地进行密码轮换?
    修改密码时,需要逐一调整相关系统的配置文件,有没有一种方案可以实现快速轮转,同时降低配置同步的复杂度?

什么是vault?

Vault 是一种用于安全访问 secret 的工具。密钥是您想要严格控制访问的任何内容,例如 API 密钥、密码、证书等。Vault 为任何密钥提供统一的接口,同时提供严格的访问控制并记录详细的审计日志。

官方逻辑图

vault安装

windows安装

下载vault的windows二进制文件,链接为:https://releases.hashicorp.com/vault/1.18.2/vault_1.18.2_windows_amd64.zip

linux安装

1.下载vault release压缩包

wget https://releases.hashicorp.com/vault/1.18.2/vault_1.18.2_linux_amd64.zip

2.解压下载的文件

unzip vault_1.18.2_linux_amd64.zip

3.将vault二进制文件移动到/usr/local/bin目录

sudo mv vault /usr/local/bin/

启动vault服务

1.启动开发模式

vault server -dev

2.配置开发模式监听ip:port

vault server -dev -dev-listen-address=192.168.196.136:8200

3.启动服务后,命令行回显。相关信息

vault地址

export VAULT_ADDR='http://192.168.196.136:8200

vault存储的密钥

Unseal Key: iQjgdKu9pZgGlbML3P4PSF1EX9n4EeokZO1snXYRRuQ=

vault应用的token

Root Token: hvs.Pz9QWZQmRmtk7gPZvmU5s9Sd

命令行结果

vault web服务端

基本概念

该部分将详细介绍vault日常使用的各种知识点。

vault服务模式(server)

介绍

vault为了方便用户**开发学习****生产部署**以及保证服务的**高可用性**,推出了适应不同环境的几种模式。

  • 开发模式

非持久化存储,适合开发测试,启动简单,不安全,不适合生产。

  • 独立模式

单实例运行,部署简单,适用于小型系统,但存在单点故障。

  • 高可用模式(HA)

多实例 + 高可用存储,支持故障切换,适合生产环境,部署复杂。

  • 集群模式

分布式多节点,支持高负载和扩展性,适合大规模部署。

  • Kubernetes 集成模式

深度结合 Kubernetes,自动化高,适合云原生环境。

  • 灾备模式

主从备份机制,提供业务连续性和灾难恢复。

  • 多数据中心模式

跨数据中心复制,优化性能,提升地域高可用性。

相关使用

1.dev模式

dev模式默认不启动**封印**,并且数据保存在**内存**中。登陆后可以测试vault所有功能,适用于学习

vault server -dev #启动dev服务模式

服务相关内容

vault服务端:https://127.0.0.1:8200

Unseal Key: KXz6ObH3iyRv6eEZuKdaj7odIt3P67ZRt/4e1DxIdD0= #默认用不到

Root Token: hvs.YWxZW6LAm1gukERJ0ta18zMX

2.独立模式

独立模式拥有正常的功能,启动**封印**功能,并且数据可以**指定位置**保存。后续使用该部分介绍**封印**机制

vault server -config = config.hcl #启动服务

export VAULT_ADDR='http://192.168.196.136:8200' #环境变量配置vault地址

vault operator init #vault初始化

服务相关信息

vault服务端:https://127.0.0.1:8200 #vault服务地址

Initial Root Token: hvs.RPTwwMgRPTFRlIPGylNU0OD4 #vault管理员token

#五个封印key

Unseal Key 1: 0SHvXa1287ebcYLEcqaVMyo0OD6l71Cc/Zd3utRRn3Yf

Unseal Key 2: GkiO4Y9+z3HA5xpP4gf9yKvr3GuJDWALw8t2SmOSFnlf

Unseal Key 3: prY6v5qv5DwjQNlgY7Sa8O/HPAUma4lcOHf7cNsnobCe

Unseal Key 4: SW2A94KosqpQFBpwK4/wpg0EMGt93O0RUh/wHGrZdqkI

Unseal Key 5: zcEXdvdTf4+xiC/AIZ3YJJH7PNrOFlCwfZx+TknKAJ4V

# 数据存储后端
storage "file" {
  path = "/var/lib/vault/data"
}

# 监听地址(启用 TLS),测试时可以暂时关闭tls
listener "tcp" {
  address     = "0.0.0.0:8200"
  tls_disable = 1  # 显式禁用 TLS
  #tls_cert_file = "/path/to/vault-cert.pem"
  #tls_key_file  = "/path/to/vault-key.pem"
}

# 设置 API 地址
api_addr = "https://127.0.0.1:8200"

# 允许 Vault 运行在无 mlock 环境(如 Docker)
disable_mlock = true

封印与解封

介绍

当 Vault 服务启动时,默认处于封印状态。在该状态下,Vault 知道如何**<font style="color:rgb(51, 51, 51);">访问物理存储</font>**,但无法解密任何存储的数据。

解封时获取**<font style="color:rgb(51, 51, 51);">Master Key</font>**明文的过程,通过 Master Key 可以读取并解密存储的数据。

在未解封时,Vault 几乎无法执行任何操作。比方身份认证、管理挂载表等等,都无法执行。唯一可以执行的操作就是**<font style="color:rgb(51, 51, 51);">解封并检查封印</font>**状态。

实际意义:通过封印/解封手段,可以对vault服务做到分权管控、多次认证。

使用场景

1.当第一次使用独立模式创建服务后,通过如下命令可以获取到**unseal key(默认使用3/5即可解封)****ROOT Token**

vault operator init

2.执行命令进行解封,该过程需要输入5个unseal key中任意3个即可。

vault operator unseal

未完成完全认证时:

错误认证时(任一密钥错误,最终报错):

完成解封时:sealed为false

3.解封后,输入Root Token即可操控vault

vault login

4.使用完毕vault后,进行封印

vault operator seal

自动解封

Vault 允许启用 自动解封(Auto-Unseal),避免每次启动时手动提供解封密钥。通过配置适当的密钥管理服务(如 AWS KMS、Azure Key Vault 或 HSM)来自动解封 Vault。这可以提高自动化和业务连续性,特别是在生产环境中,确保 Vault 在每次重启后能自动恢复到解封状态,避免因手动解封导致的服务中断。

这里存在静态解封和脚本解封2种情况,可以针对不同用户启动。不过多赘述。

身份验证

介绍

Vault 中的身份验证是根据内部或外部系统验证用户或机器提供的信息的过程。 Vault 支持多种身份验证方法,包括 GitHub、LDAP、AppRole 等。每个身份验证方法都有对应的使用场景。如下为几种例子。

Token

针对不同需求创建token

1.创建一个policies为**default**,可登录次数为3次的token

**vault write auth/token/create policies="default" ttl=8h num_uses=3 **

2.创建完即可登录

客户端登录:

可试读前30%内容
¥ 19.9 全文查看
9.9元开通FVIP会员
畅读付费文章
最低0.3元/天
# 企业安全
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 r0bepr 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
r0bepr LV.1
这家伙太懒了,还未填写个人描述!
  • 4 文章数
  • 6 关注者
AppLocker的攻与防
2024-12-27
freebuf快速同步语雀文章
2024-12-06
MYSQL | “增删改”注入
2024-12-05
广告
文章目录