Hashicorp Vault - Auth-Token erstellen Nur, nicht lesen Geheimnisse

Ich verwende Hashicorp Vault:Hashicorp Vault - Auth-Token erstellen Nur, nicht lesen Geheimnisse

https://www.vaultproject.io/

ich einen Benutzer möchten, die neue Benutzer erstellen kann, aber ihre Geheimnisse nicht lesen .

Würde ich erstellen Sie einfach eine Politik wie:

path "sys/auth/token/*" { 
    policy = "write" 
}

da alle Richtlinien verweigern werden auf?

Quelle

2016-04-23 steve76

Dies war die falsche Methode, Vault zu verwenden. Das waren meine Fehler:

Der Versuch, Benutzerkennwörter zu speichern. Für mich sieht es besser aus, Plattformpasswörter zu behandeln, wie die integrierten temporären Postgre-Zugangsdaten.
Der Versuch, alle Spuren von Authentifizierungsschlüsseln auf dem Server zu entfernen. Wenn Vault-Benutzer automatisch erstellt werden, müssen die Vault-Anmeldeinformationen entweder in einem Skript oder in einer Datei mit den entsprechenden Berechtigungen vorhanden sein.
Versuchen, einen gerooteten Server abzuschwächen. Wenn jemand Root-Zugriff hat, gibt es größere Probleme. Verschlüsselung kann Datenlecks wie ein Datenbank-Dump mindern. Datenlecks, wenn der Root-Zugriff in meinem Fall kompromittiert wurde, müssen akzeptiert werden. Es ist am besten, sich darauf zu konzentrieren, nicht verwurzelt zu werden.

Quelle

2016-09-02 12:40:21 steve76

//, Warum denken Sie, dass Vault zum Speichern von Benutzerkennwörtern ungeeignet wäre? Ich überlege, ob ich es für diesen Zweck verwenden soll. –

Ich habe versucht, einen gerooteten Server abzuschwächen. Wenn das passiert, gibt es größere Probleme. Anstatt zu verschlüsseln und dann zu entschlüsseln, was ich für eine API-Aggregationsanwendung benötigte, ist es besser, Hash zu verwenden oder einen Identity-Provider zu verwenden und Passwörter überhaupt nicht zu speichern. – steve76

Hashicorp Vault - Auth-Token erstellen Nur, nicht lesen Geheimnisse

Antwort

Verwandte Themen