• HashiCorp Vault перехвален, а Mozilla SOPS вместе с KMS и Git неоправданно недооценены
• Одноразовые пароли для доступа по ssh через HashiCorp Vault
• Managing SSH access with Hashicorp Vault
• Как создавать Kubernetes секреты из Vault, используя external-secrets-operator
• Инъекция секретов из Vault в поды используя сайдкары Kubernetes
• Используем Hashicorp Vault для хранения секретов

• Что бы хранить что-то в секрете, или управлять доступом, нужно знать другой секрет. Но, как это сделать в автоматизированных системах предприятия? Вот откуда берутся пароли в файлах конфигурации/скриптах и не зашифрованные приватные ключи. Теперь все это окажется в прошлом, как решить дилемму “курицы и яйца”, при использовании чувствительных данных в пайплайнах предприятия, Вы узнаете на нашем вебинаре

• Развернуть HashiCorp Vault и Mozilla Sops для работы с секретами предприятия
• Интегрировать их с пайплайнами Ansible, Gitlab и Kubernetes

• Тэги:

• DevOps1. Основные инструменты: DNS + Vagrant (nodeN), GitLab + Runner + Ansible
• Роль OpenVPN сервера
• GitLab CI/CD Пример shell ansible

• ansible-vault
• GitLab Пример shell ansible

vagrant@nodeN:~$ sudo rm /etc/ssl/private/server.key

vagrant@nodeN:~$ sudo less /etc/ssl/private/server.key

Недостатки:

1. если сменится пароль на узлы, надо перешифровывать значения в inventory
2. ключ шифрования используется в “явном” виде и может быть “украден”

• Подготовка к следующему шагу:

~/openvpn1# ansible-vault decrypt openvpn1/files/server.key

• Hashicorp Vault
• KV secrets engine
• Vault policy для /secret/data/ansible/openvpn1
• Vault token

• Ansible и Hashicorp Vault

Недостатки:

1. логин/пароль “лежат” в Vault в “открытом” виде (и передается в нашей инсталляции тоже:)
2. зная токен, их можно “украсть” с любой системы, откуда доступен Vault

• Vault auth token role
• Проводим curl тестирование из 3-го шага с server и gate
• Удаляем “небезопасный” токен
• Можно расширить bound_cidrs для auth/token/roles/ansible-openvpn1-role и убедиться, что это не повлияет на существующий токен
• Используем этот токнен в inventory решения Ansible и Hashicorp Vault

Недостатки:

1. файл с приватным ключом в открытом виде

• Transit secrets engine
• Mozilla Sops и знакомство с UI Hashicorp Vault для редактирования Vault policy
• Ansible и SOPS

• GitLab Пример shell ansible

• Удаление чувствительных данных (паролей, ключей) из репозитория

• Удалить HashiCorp Vault
• ? Удалить проект в GitLab и в файловой системе
• Удалить jq на server
• Удалить sops на server

docker stop my-vault

? rm -rf /root/openvpn1/ /tmp/openvpn1/

rm /usr/local/bin/sops

apt purge jq
apt purge python3-hvac

server:~/openvpn1# cat openvpn1/tasks/main.yml

- name: Ping
  ping:

- name: Copy file server.key
  copy:
    src: server.key
    dest: /etc/ssl/private/server.key
    mode: '0600'

server:~/openvpn1# cat inventory.yaml

...
    ansible_ssh_user: student
    ansible_ssh_pass: password
    ansible_sudo_pass: password
...

server:~/openvpn1# cat openvpn1.yaml

...
      #when: node_nets...