AA
А на тачки с волтом по ssh кто ходить может?
Size: a a a
2019 January 22
bc
Канэшн владелец сервиса может :) иначе это бы были не мы :)
2019 January 23
YS
Простите за задержку, я простужен. Рут токены удалены. Ключи храним в репозитории в зашифрованном виде. Каждый владелец ключа может расшифровать с помощью своего pgp ключа. Поэтому не страшно хранить в репе. + после рекея старые бэкапы можно расшифровать только старыми ключами, так что если придётся восстанавливать бэкап до смены ключа, надо старые ключи
Все изменения катит сервисная учётка порезанная по правам, но с достаточными правами для внесения изменений. Т.е. секрет прочитать не может, но secret engine примонтировать - легко
Все изменения катит сервисная учётка порезанная по правам, но с достаточными правами для внесения изменений. Т.е. секрет прочитать не может, но secret engine примонтировать - легко
YS
Хочу дополнить: в аудит логах волта до сих пор не логируются попытки выпустить рут токен. Т.е. не удастся узнать до авторизации что кто-то получил рут токен. Однако алерт на авторизацию можно повесить без проблем. Т.к. волт не будет выполнять операции пока не отпишет хотя бы в одно устройство для логирования действий (audit device).
AA
А как вы алертите по аудит логам?
YS
Грейлог орёт как только видит нужный набор символов. Т.е. если display_name: root - это плохо.
Аналогично можно настроить в ELK
Аналогично можно настроить в ELK
RR
А как вы алертите по аудит логам?
ML ищет аномалии - если есть алертит 😃
RR
(у нас не так) Ж)
2019 January 24
PR
Как храните токены для доступа в vault? 😂 У меня сервис сам при старте берет секреты котрые нужны из него. Встал вопрос как быть с токеном?
YS
Если approle то токен можно сделать периодическим и продлевать. Сам токен при этом не будет меняться, будет меняться время его жизни, обнуляться. Менять политики при таком "вечном" токене не пробовал, поэтому не скажу работает ли.
Если userpass - то авторизовываться
Если именно токен выпускаете, то прдумывайте как выпускать и скармливать приложению, ну или пусть само прилоение будет уметь выпустить себе токен, но это та ещё дырка, т.к. нельзя сказать что ты можешь выпустить токен только с такими политиками.
Ещё есть vault agent approle он может за приложение ходить и approle токен получать, а далее складывать в файлик на машине, к сожалению только в файлик.
Если userpass - то авторизовываться
Если именно токен выпускаете, то прдумывайте как выпускать и скармливать приложению, ну или пусть само прилоение будет уметь выпустить себе токен, но это та ещё дырка, т.к. нельзя сказать что ты можешь выпустить токен только с такими политиками.
Ещё есть vault agent approle он может за приложение ходить и approle токен получать, а далее складывать в файлик на машине, к сожалению только в файлик.
PR
Спсибо, посмотрю
С
если политика не изменится, можно перевыпускать токен с тем же именем, но другими политиками
vault token create -id ...V
Если approle то токен можно сделать периодическим и продлевать. Сам токен при этом не будет меняться, будет меняться время его жизни, обнуляться. Менять политики при таком "вечном" токене не пробовал, поэтому не скажу работает ли.
Если userpass - то авторизовываться
Если именно токен выпускаете, то прдумывайте как выпускать и скармливать приложению, ну или пусть само прилоение будет уметь выпустить себе токен, но это та ещё дырка, т.к. нельзя сказать что ты можешь выпустить токен только с такими политиками.
Ещё есть vault agent approle он может за приложение ходить и approle токен получать, а далее складывать в файлик на машине, к сожалению только в файлик.
Если userpass - то авторизовываться
Если именно токен выпускаете, то прдумывайте как выпускать и скармливать приложению, ну или пусть само прилоение будет уметь выпустить себе токен, но это та ещё дырка, т.к. нельзя сказать что ты можешь выпустить токен только с такими политиками.
Ещё есть vault agent approle он может за приложение ходить и approle токен получать, а далее складывать в файлик на машине, к сожалению только в файлик.
Звучит как проблема курицы и яйца все равно, и без третьей точки - разница с передачей кредов в окружении - минимальна)
2019 January 25
RR
вывод - нечего и начинать
RR
какие бенефиты получились?
YS
Звучит как проблема курицы и яйца все равно, и без третьей точки - разница с передачей кредов в окружении - минимальна)
Не совсем. При использовании approle строго задаются политики именно учётки, их можно менять, но необходимы права. А при токене - ты каждый раз указываешь с какими политиками будет создан токен.
2019 January 27
N
N
В блоге компании Gruntwork вышла серия статей про автоматизацию HashiCorp Vault.
Рассматривается auto-unseal и аутентификация с помощью метаданных инстанса и IAM для AWS и GCP.
* http://amp.gs/Vr1L
* http://amp.gs/Vr1Q
* http://amp.gs/Vr1o
#gruntwork #vault #aws
Рассматривается auto-unseal и аутентификация с помощью метаданных инстанса и IAM для AWS и GCP.
* http://amp.gs/Vr1L
* http://amp.gs/Vr1Q
* http://amp.gs/Vr1o
#gruntwork #vault #aws
bc
Весь смысл unseal в том чтобы он делался вручную...
С
Если поднимать много маленьких vault, автоансил может иметь смысл.