So installieren Sie Hashicorp Vault auf CentOS 7

Einführung

Tresor speichert, kontrolliert und schützt die Daten, die für die Authentifizierung und Autorisierung verwendet werden. Vault ist ein Verwaltungssystem für Geheimnisse, das den Zugriff auf Passwörter, Zertifikate oder APIs einschränkt oder genehmigt. Es bietet auch Datenverschlüsselung, On-Demand-Geheimnisse und Widerruf.

In diesem Tutorial erfahren Sie, wie Sie Vault unter CentOS installieren und Vault als Dienst ausführen.

Voraussetzungen

• Ein CentOS-Linux-System
• Ein Benutzerkonto mit sudo Privilegien
• Zugriff auf ein Befehlszeilen-/Terminalfenster (Strg + Alt +F2 )

Installieren Sie Vault von Binary auf CentOS

1. Erstellen Sie vor der Installation von Vault ein neues Verzeichnis in Linux mit dem Befehl mkir, um das Binärpaket und andere erforderliche Daten für die Software zu speichern. Zur Veranschaulichung nennen wir es „Verzeichnis“ und führen den folgenden Befehl aus, um es zu erstellen:

sudo mkdir -p /opt/vault/directory

2. Wenn das Verzeichnis eingerichtet ist, fahren Sie mit dem Herunterladen der Binärdatei von der offiziellen Website von Vault fort. Navigieren Sie zur Website und klicken Sie auf das blaue Download-Symbol.

3. Suchen Sie das passende Paket für Ihr CentOS-Betriebssystem (Linux) und klicken Sie auf die Kachel.

4. Sie sehen das Linux-Symbol und eine Download-Schaltfläche. Klicken Sie mit der rechten Maustaste auf die Schaltfläche und wählen Sie Link-Standort kopieren.

5. Gehen Sie als Nächstes zurück zur Befehlszeile. Verwenden Sie das wget Befehl und den Link-Speicherort, den Sie im vorherigen Schritt kopiert haben, um die Binärdatei herunterzuladen:

sudo wget https://releases.hashicorp.com/vault/1.2.3/vault_1.2.3_linux_amd64.zip

6. Dann entpacken Sie das Paket mit dem Befehl:

unzip vault_1.2.3_linux_amd64.zip

7. Geben Sie nach dem Entpacken Folgendes ein:

sudo chown root:root vault

sudo mv vault /usr/local/bin/ (or to som other DIR that's present in your $PATH

8. Vergewissern Sie sich, dass Vault mit dem folgenden Befehl ausgeführt wird:

vault --version

Die Ausgabe zeigt die Version von Vault an, die auf dem System ausgeführt wird.

Für zusätzliche Informationen können Sie die Hilfeseite mit dem folgenden Befehl aufrufen:

vault

Vault konfigurieren

Erstellen Sie einen Dienstbenutzer für Vault

Es ist am besten, die Sicherheit privilegierter Konten in Betracht zu ziehen und einen separaten nicht privilegierten Systembenutzer zum Ausführen eines Vault-Servers zu haben.

Verwenden Sie den folgenden Befehl, um einen Systembenutzer zu erstellen und den Besitz des Installationsverzeichnisses zu gewähren:

sudo useradd --system -home /etc/vault.d - shell /bin/false vault

Prüfen Sie, ob Sie den Dienstbenutzer erfolgreich erstellt haben mit:

sudo grep vault /etc/passwd

Die Ausgabe sollte so etwas wie die folgende Zeile zeigen:

vault:x:997:995::/etc/vault.d:/bin/false

Tresor als Dienst ausführen

Um Vault als Dienst auszuführen, müssen Sie auch eine neue Systemd-Dienstdatei erstellen:

sudo vi/etc/systemd/system/vault.service

Fügen Sie dann den folgenden Inhalt hinzu:

[Unit]
Description="HashiCorp Vault - A tool for managing secrets"
Documentation=https://www.vaultproject.io/docs/
Requires=network-online.target
After=network-online.target
ConditionFileNotEmpty=/etc/vault.d/vault.hcl
StartLimitIntervalSec=60
StartLimitBurst=3

[Service]
User=vault
Group=vault
ProtectSystem=full
ProtectHome=read-only
PrivateTmp=yes
PrivateDevices=yes
SecureBits=keep-caps
AmbientCapabilities=CAP_IPC_LOCK
Capabilities=CAP_IPC_LOCK+ep
CapabilityBoundingSet=CAP_SYSLOG CAP_IPC_LOCK
NoNewPrivileges=yes
ExecStart=/usr/local/bin/vault server -config=/etc/vault.d/vault.hcl
ExecReload=/bin/kill --signal HUP $MAINPID
KillMode=process
KillSignal=SIGINT
Restart=on-failure
RestartSec=5
TimeoutStopSec=30
StartLimitInterval=60
StartLimitIntervalSec=60
StartLimitBurst=3
LimitNOFILE=65536
LimitMEMLOCK=infinity

[Install]
WantedBy=multi-user.target

Aktivieren und starten Sie den Dienst mit den Befehlen:

sudo systemctl enable vault.service

sudo systemctl start vault.service

Vault verwalten

Der nächste Schritt besteht darin, das Vault-bin-Verzeichnis mit dem folgenden Befehl in die PATH-Umgebungsvariable zu verschieben:

export PATH=$PATH:/opt/vault/bin
echo "export PATH=$PATH:/opt/vault/bin" >> ~/.bashrc

Anschließend legen Sie die Umgebungsvariablen für Vault fest, indem Sie Folgendes eingeben:

export VAULT_ADDRESS=http://10.128.0.2:8200
echo "export VAULT_ADDR=http://10.128.0.2:8200" >> ~/.bashrc

Initialisieren und entsiegeln Sie Ihren Tresor

Um Vault zu initialisieren und zu entsiegeln, müssen Sie Vault zunächst als Server im Entwicklungsmodus starten . Stellen Sie jedoch sicher, dass Sie keinen Entwicklungsserver in der Produktion ausführen.

Führen Sie den folgenden Befehl aus:

vault server -dev

Der Befehl erzeugt eine Ausgabe, die die Serverkonfiguration enthält , der Entsiegelungsschlüssel und Root-Token . Speichern Sie die Unseal-Key- und Root-Token-Werte, da Sie sie in den nächsten Schritten benötigen.

Beginnen Sie mit dem Festlegen der Umgebungsvariablen. Sie finden diesen Befehl als Teil der Ausgabe der vorherigen Schritte:

export VAULT_ADDR=’http://127.0.0.1:8200’

Führen Sie dann den folgenden Befehl mit den Informationen aus der Ausgabe des Entwicklungsservers aus:

export VAULT_DEV_ROOT_TOKEN_ID=”XXXXXXXXXXXXXXXX”

Überprüfen Sie den Status des Servers:

valut status

Die Ausgabe sollte anzeigen, dass Vault jetzt initialisiert und nicht mehr versiegelt ist.

Key             Value
---             -----
Seal Type       shamir
Initialized     true
Sealed          false
Total Shares    1
Threshold       1
Version         1.2.3
Cluster Name    vault-cluster-18e6bce0
Cluster ID      16382125-eb14-f23a-8145-ad64eee072cf
HA Enabled      false