HashiCorp Vault est une solution puissante et flexible permettant de gérer de manière sécurisée vos secrets, mots de passe, certificats et clés cryptographiques. Ce guide détaille comment déployer Vault dans votre infrastructure.
Prérequis
- Un serveur Linux (Debian, Ubuntu, CentOS, Rocky ou AlmaLinux)
- Accès root ou sudo
- Un nom de domaine configuré (recommandé)
Installation de Vault
Téléchargez et installez Vault :
wget https://releases.hashicorp.com/vault/1.15.2/vault_1.15.2_linux_amd64.zip
unzip vault_1.15.2_linux_amd64.zip
sudo mv vault /usr/local/bin/
Vérifier l’installation :
vault --version
Configuration initiale
Créer un fichier /etc/vault/config.hcl
:
storage "file" {
path = "/opt/vault/data"
}
listener "tcp" {
address = "0.0.0.0:8200"
tls_disable = 1
}
ui = true
Créer les répertoires nécessaires :
sudo mkdir -p /opt/vault/data
sudo chown -R vault:vault /opt/vault
Démarrer Vault comme service systemd
Créer /etc/systemd/system/vault.service
:
[Unit]
Description=HashiCorp Vault
After=network-online.target
[Service]
User=vault
ExecStart=/usr/local/bin/vault server -config=/etc/vault/config.hcl
ExecReload=/bin/kill --signal HUP $MAINPID
KillMode=process
Restart=on-failure
LimitNOFILE=65536
[Install]
WantedBy=multi-user.target
Activer et démarrer Vault :
sudo systemctl daemon-reload
sudo systemctl enable --now vault
Initialiser Vault
export VAULT_ADDR='http://127.0.0.1:8200'
vault operator init
Conservez soigneusement les clés de déchiffrement fournies.
Déverrouiller Vault
vault operator unseal
Saisissez au moins 3 clés fournies précédemment.
Accéder à l’interface web
- URL :
http://IP_SERVEUR:8200
- Token : le token root généré à l'initialisation.
Stocker votre premier secret
vault kv put secret/hello foo=world
vault kv get secret/hello
Sécuriser l’accès
- Activer SSL/TLS avec un reverse proxy (Nginx)
- Utiliser des politiques d'accès
- Activer des méthodes d'authentification (LDAP, GitHub, AWS IAM, etc.)
Conclusion
HashiCorp Vault permet une gestion centralisée, sécurisée et flexible des secrets au sein de votre organisation, augmentant ainsi considérablement la sécurité globale de votre infrastructure.