//,如何在Linux上将访问令牌保护到Hashicorp Vault等远程自动秘密商店?

前端之家收集整理的这篇文章主要介绍了//,如何在Linux上将访问令牌保护到Hashicorp Vault等远程自动秘密商店?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
//,Hashicorp Vault for Linux等密码管理器的密码似乎有点鸡与蛋的问题.

在研究某些Linux服务器时,有人聪明地问道,
“如果我们将所有秘密存储在秘密存储服务中,我们将访问密钥存储在该秘密存储服务中?
在我们的秘密存储服务?“‡

我吃了一惊,因为如果我存储秘密的所有Linux服务器都有其访问令牌,那么使用单独的秘密存储服务是没有意义的.

例如,如果我将我的秘密移到Vault,我是否还需要存储秘密才能在Linux服务器上的某个位置访问Hashicorp Vault?

有人谈论以一些创造性的方式解决这个问题,至少让事情变得比现在好.
我们可以做一些聪明的事情,比如基于CIDR或密码mashup的auth.
但仍然需要权衡安全性
例如,如果黑客获得对我的计算机的访问权限,则如果访问权限基于CIDR,则他们可以进入保险库.

这个问题可能没有答案,在这种情况下,答案是“不,这没有普遍接受的银弹解决方案,去创造性,找到你的权衡bla bla bla”

我想回答以下具体问题:

是否有一种普遍接受的方法可以将密码保存到现代Linux服务器上的Hashicorp Vault等远程自动秘密存储中?

显然,明文是不可能的.

对此有规范的答案吗?我甚至在正确的地方问过这件事吗?我也考虑过security.stackexchange.com,但这似乎是一种存储Linux服务器机密的方法.我知道这可能看起来太笼统或基于意见,所以我欢迎您可能必须避免的任何编辑建议.

‡我们笑了,但我在这里得到的答案很可能是“在金库中”. :/
例如,Jenkins服务器或其他东西有a 6-month revokable password that it uses to generate one-time-use tokens,which they then get to use to get their own little ephemeral (session limited) password generated from Vault,which gets them a segment of info.

这样的事情似乎也是如此,尽管它只是解决方案的一部分:Managing service passwords with Puppet

解决方法

//,首先,这里讨论的问题不仅仅是提供秘密0或者他们称之为“安全介绍”的操作.

相反,这是关于保护秘密,一旦收到.

我没有银弹解决方案.但是有一些深度防御选项:

>使用response wrapping传递秘密.
>将令牌周围的CIDR限制放置到Secret Store,这样令牌只能从一组特定的IP地址使用,并使用可靠的协议,如PROXY(非X-Forwarding)将IP地址传递给秘密存储(例如,设置) token_bound_cidrs只有一个子网才能使用令牌.)>仅将密钥存储在内存中,并使用mlock锁定内存.>如果可能,对秘密本身设置时间限制,甚至允许秘密只使用一次>监控秘密的异常使用,例如:常规客户端应警告其一次性使用密码是否不起作用(因为它已被使用),如果有人试图在允许的CIDR范围之外使用该秘密,服务器应发出警报>这是一种在这里出现的问题,但是如果可能的话,你可能会允许服务器上存在“蜜罐”秘密以及常规秘密,从而为系统提供一组凭据的“访问权”.只记录访问和警报.>对于本地存储的秘密的每次使用都要求重新认证,这意味着除了本地存储的秘密之外的其他认证因素需要在每次使用时应用,例如,已签名的计算实例或工作负载唯一的元数据,或者在Vault中为Approle>禁用任何类型的磁盘缓存,以防止秘密触及任何可能持久的存储

猜你在找的Linux相关文章