1. дома
  2. Вопрос и ответ
  3. Hashicorp Vault - Создание Auth лексем Только не читайте секреты

Hashicorp Vault - Создание Auth лексем Только не читайте секреты

2016-04-23 10 views
1

Я использую Hashicorp Vault:Hashicorp Vault - Создание Auth лексем Только не читайте секреты

https://www.vaultproject.io/

Я хочу, чтобы пользователь, который может создавать новых пользователей, но не может читать свои секреты ,

бы я просто создать политику, как:

path "sys/auth/token/*" { 
    policy = "write" 
}

, поскольку все политики настроены отрицать?

источник

2016-04-23 steve76

ответ

2

Это был неправильный способ использования хранилища. Это были мои ошибки:

  • Пытается хранить пароли пользователей. Для меня лучше обрабатывать пароли платформы, такие как встроенные временные учетные данные postgre.
  • Пытается удалить любые следы ключей аутентификации на сервере. Если пользователи хранилища будут созданы автоматически, учетные данные Vault должны будут существовать где-то в сценарии или файле с соответствующими разрешениями.
  • Попытка уменьшить корневой сервер. Если у кого-то есть корневой доступ, возникают большие проблемы. Шифрование может смягчать утечку данных, например, дамп базы данных. Утечки данных, если корневой доступ был скомпрометирован в моем случае, должны быть приняты. Лучше всего сосредоточиться на том, чтобы не укорениться.

источник

2016-09-02 12:40:21 steve76

+0

//, Как вы думаете, почему Vault не подходит для хранения пользовательских паролей? Я рассматриваю, использовать ли его для этой цели. –

+0

Я пытался уменьшить корневой сервер. Если это произойдет, возникают большие проблемы. Вместо того, чтобы шифровать, а затем пытаться расшифровать, что мне нужно для приложения агрегирования API, будет лучше хешировать или использовать поставщик удостоверений и вообще не хранить пароли. – steve76

 Смежные вопросы

  • Нет связанных вопросов^_^