Differences

This shows you the differences between two versions of the page.

--- управление_секретами_в_сети_предприятия [2026/02/25 20:32]
val [Подготовка к вебинару]
+++ управление_секретами_в_сети_предприятия [2026/03/13 14:10] (current)
val [Запись вебинара]
@@ Line 20: / Line 20: @@
 ===== Запись вебинара =====
-  * Тэги:
+  * Ютуб: https://youtu.be/-bK7e7IodWI
+  * Рутуб: https://rutube.ru/video/39004cb2231017de5a32e9ae74c7e7b9/
+  * Вк: https://vkvideo.ru/video-2190892_456239499
+  * Тэги: Ansible, Hashicorp, Vault, Git, Gitlab, CI/CD, transit, secrets, engine
 ===== Шаг 1. Что у нас есть, для начала =====
@@ Line 29: / Line 33: @@
 ===== Шаг 2. ansible-vault =====
+<code>
+vagrant@node3:~$ sudo rm /etc/ssl/private/server.key
+~/openvpn1# ansible-playbook openvpn1.yaml -i inventory.yaml -e "variable_host=test_nodes"
+vagrant@node3:~$ sudo less /etc/ssl/private/server.key
+</code>
   * [[Сервис Ansible#ansible-vault]]
-  * GitLab [[Инструмент GitLab#Пример shell ansible]]
 <code>
-vagrant@nodeN:~$ sudo rm /etc/ssl/private/server.key
+vagrant@node1:~$ sudo rm /etc/ssl/private/server.key
+</code>
-vagrant@nodeN:~$ sudo less /etc/ssl/private/server.key
+  * GitLab [[Инструмент GitLab#Пример shell ansible]]
+<code>
+vagrant@node1:~$ sudo less /etc/ssl/private/server.key
 </code>
 Недостатки:
   - если сменится пароль на узлы, надо перешифровывать значения в inventory
-  - ключ шифрования используется в "явном" виде и может быть "украден"
+  - ключ шифрования не хранится (и не может быть изменен) централизованно, и не может быть предоставлен на ограниченное время
   * Подготовка к следующему шагу:
@@ Line 58: / Line 73: @@
 Недостатки:
-  - логин/пароль "лежат" в Vault в "открытом" виде (и передается в нашей инсталляции тоже:)
+  * логин/пароль "лежат" в Vault, но, зная токен, их можно "украсть" с любой системы, откуда доступен Vault
-  - зная токен, их можно "украсть" с любой системы, откуда доступен Vault
 ===== Шаг 4. Hashicorp Vault Vault auth token role =====
@@ Line 70: / Line 84: @@
 Недостатки:
-  - файл с приватным ключом остался в открытом виде
+  * файл с приватным ключом остался в открытом виде
 ===== Шаг 5. Hashicorp Vault Transit secrets engine =====
@@ Line 82: / Line 96: @@
 ===== Шаг 6. Удаление чувствительных данных (паролей, ключей) из репозитория =====
+  * [[Сервис Git#Поиск чувствительных данных (паролей, ключей) в репозитории]]
   * [[Сервис Git#Удаление чувствительных данных (паролей, ключей) из репозитория]]
+  * Обсудить [[Пакет OpenSSL#Создание сертификата сервиса, подписанного CA]]
+  * Показать [[Технология Vagrant#Provision с использованием внешних скриптов]]
+===== Вопросы? =====
 ===== Подготовка к вебинару =====
-  * Удалить HashiCorp Vault
+  * Восстановить снимок, или Удалить проект в GitLab и все остальное
-  * ? Удалить проект в GitLab и в файловой системе
-  * Удалить jq на server
-  * Удалить sops на server
 <code>
 docker stop my-vault
 docker rm my-vault
-rm -rf /root/openvpn1/ /tmp/openvpn1/
+rm -rf /tmp/openvpn1/
 rm /usr/local/bin/sops
-apt purge jq
+apt purge jq python3-hvac git-filter-repo
-apt purge python3-hvac
-apt purge git-filter-repo
 </code>

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools