1

我正在使用 Hashicorp Vault:

https://www.vaultproject.io/

我想要一个可以创建新用户但不能阅读他们的秘密的用户。

我会创建一个类似的策略:

path "sys/auth/token/*" {
  policy = "write"
}

因为所有政策都设置为拒绝?

4

1 回答 1

2

这是使用 Vault 的错误方法。这些是我的错误:

  • 试图存储用户密码。对我来说,处理平台密码看起来更好,比如集成的临时 postgre 凭据。
  • 尝试删除服务器上的任何身份验证密钥痕迹。如果要自动创建 Vault 用户,则 Vault 凭据需要存在于某个地方,无论是在脚本中还是在具有适当权限的文件中。
  • 试图减轻有根服务器。如果有人具有 root 访问权限,则存在比这更大的问题。加密可以减轻数据泄漏,例如数据库转储。如果在我的情况下,如果 root 访问受到损害,则必须接受数据泄漏。最好专注于不扎根。
于 2016-09-02T12:40:21.083 回答