A
Надо выпилить по идее
Size: a a a
2020 November 20
D
всем спасибо, нашла ошибку. Синтаксис. Пропущены запятые
D
хмм. Печаль. Не помогло :-/
D
/ # vault login
Token (will be hidden):
Error authenticating: error looking up token: Get https://127.0.0.1:8200/v1/auth/token/lookup-self: http: server gave HTTP response to HTTPS client
/ #
Token (will be hidden):
Error authenticating: error looking up token: Get https://127.0.0.1:8200/v1/auth/token/lookup-self: http: server gave HTTP response to HTTPS client
/ #
С
/ # vault login
Token (will be hidden):
Error authenticating: error looking up token: Get https://127.0.0.1:8200/v1/auth/token/lookup-self: http: server gave HTTP response to HTTPS client
/ #
Token (will be hidden):
Error authenticating: error looking up token: Get https://127.0.0.1:8200/v1/auth/token/lookup-self: http: server gave HTTP response to HTTPS client
/ #
в дебаг режиме запускается без ssl, поменяй в VAULT_ADDR URL на http
D
в дебаг режиме запускается без ssl, поменяй в VAULT_ADDR URL на http
нужно наоборот запустить с ssl)
С
В дебаге тогда придётся сертификат создавать
D
В дебаге тогда придётся сертификат создавать
а есть что почитать по теме?
С
а есть что почитать по теме?
ПО теме SSL, сертификатов или дебаг режима волта?
D
стоп. Сейчас у меня есть сгенерированные ssl сертификаты. Волту еще подсовываю их в конфиге.
С
Для локалхоста?
D
для 0.0.0.0:8200
D
привет! кто-нибудь поднимал tls к hashicorp vault? Что у меня не так, или как включить больше логов?
/ # vault server -config vault/config/vault-config.json
You cannot specify a custom root token ID outside of "dev" mode. Your request
has been ignored.
Error initializing listener of type tcp: 'tls_cert_file' must be set
/ # cat /root/certs/server.crt
-----BEGIN CERTIFICATE-----
MIIBozCCAUkCFD4aAL8jrR4Rz0xqJZJHD0yx2Ug
.....
UxP0Bhs0OahJLj65BuMajOKb
-----END CERTIFICATE-----
/ # cat vault/config/vault-config.json
{
"backend": {
"file": {
"path": "vault/data"
}
},
"listener": {
"tcp":{
"address": "0.0.0.0:8200",
"tls_disable": 0,
"tls_cert_file": "/root/certs/server.crt",
"tls_key_file": "/root/certs/server.key"
}
},
"api_addr": "https://127.0.0.1:8200"
"ui": true
}
/ #
/ # vault server -config vault/config/vault-config.json
You cannot specify a custom root token ID outside of "dev" mode. Your request
has been ignored.
Error initializing listener of type tcp: 'tls_cert_file' must be set
/ # cat /root/certs/server.crt
-----BEGIN CERTIFICATE-----
MIIBozCCAUkCFD4aAL8jrR4Rz0xqJZJHD0yx2Ug
.....
UxP0Bhs0OahJLj65BuMajOKb
-----END CERTIFICATE-----
/ # cat vault/config/vault-config.json
{
"backend": {
"file": {
"path": "vault/data"
}
},
"listener": {
"tcp":{
"address": "0.0.0.0:8200",
"tls_disable": 0,
"tls_cert_file": "/root/certs/server.crt",
"tls_key_file": "/root/certs/server.key"
}
},
"api_addr": "https://127.0.0.1:8200"
"ui": true
}
/ #
вот же конфиг
С
вот же конфиг
есть ощущение, что он всё равно слушает HTTP, попробуй убрать tls_disable из конфига
tls_disable (string: "false") – Specifies if TLS will be disabled. Vault assumes TLS by default, so you must explicitly disable TLS to opt-in to insecure communication.
tls_disable (string: "false") – Specifies if TLS will be disabled. Vault assumes TLS by default, so you must explicitly disable TLS to opt-in to insecure communication.
D
о, кек, если поставить false то получаются правильные пчелы. Пишут плохой сертификат клиента. Сейчас поставлю что сертификат клиента проверять не надо
G
hashicorp/vagrant tagged: v2.2.14
Link: https://github.com/hashicorp/vagrant/releases/tag/v2.2.14
Release notes:
Link: https://github.com/hashicorp/vagrant/releases/tag/v2.2.14
Release notes:
v2.2.14
m
А вагрант вообще живой?
KP
В номаде encrypt лежит по сути плейнтекстом. Подскажите какие проблемы могут возникнуть если допустим этот ключ получит злоумышленник? Возможность man-in-the-middle для nomad gossip?
Если вдруг кому интересно то вот ответ:
The gossip encryption key is mostly a denial-of-service protection (it also prevents an information leak about server IDs, IP addresses and raft versions, but that's not part of the security model). If the gossip key is compromised, the attacker could use it to add or remove servers from the "member list" used for raft consensus. That could create a situation where legitimate servers don't think they have quorum during leadership elections and where they try to make RPC connections to a fake server.
Note that this isn't the same as compromising the data that's shared between servers. That data is sent over the RPC channel, which should be protected via mTLS and ACLs. So if the gossip key is compromised but mTLS is not, the fake servers will get rejected when trying to make RPC connections.
The gossip encryption key is mostly a denial-of-service protection (it also prevents an information leak about server IDs, IP addresses and raft versions, but that's not part of the security model). If the gossip key is compromised, the attacker could use it to add or remove servers from the "member list" used for raft consensus. That could create a situation where legitimate servers don't think they have quorum during leadership elections and where they try to make RPC connections to a fake server.
Note that this isn't the same as compromising the data that's shared between servers. That data is sent over the RPC channel, which should be protected via mTLS and ACLs. So if the gossip key is compromised but mTLS is not, the fake servers will get rejected when trying to make RPC connections.
G
hashicorp/nomad description changed: v0.12.9
Link: https://github.com/hashicorp/nomad/releases/tag/v0.12.9
Release notes:
Link: https://github.com/hashicorp/nomad/releases/tag/v0.12.9
Release notes:
BUG FIXES:
* client: Fixed a regression where `NOMAD_{ALLOC,TASK,SECRETS}_DIR` variables would cause an error when interpolated into `template.source` stanzas. [[GH-9391](https://github.com/hashicorp/nomad/issues/9391)]
2020 November 21
E
Ребят, может кто подсказать?
nomad
Есть блок network, он внутри блока group, блок config от таски (docker) из него адекватно подтягивает порты, все окей, а вот блок service в этой же таске не видит нивкакую блок network и соответсвенно, настроить check не выходит
Что может быть не так? Область видимости? Но вроде с ней все окей, а куда еще копать, не могу понять
nomad
Есть блок network, он внутри блока group, блок config от таски (docker) из него адекватно подтягивает порты, все окей, а вот блок service в этой же таске не видит нивкакую блок network и соответсвенно, настроить check не выходит
Что может быть не так? Область видимости? Но вроде с ней все окей, а куда еще копать, не могу понять