Телеграмм чат группы ru_hashicorp страница 1195

А сейчас при генерации получаются:

17:19пожаловаться #1

VAULT_ADDR=http://1.2.3.4:8200/ vault operator generate-root -init
A One-Time-Password has been generated for you and is shown in the OTP field.
You will need this value to decode the resulting root token, so keep it safe.
Nonce 105f400f-23fb-a779-677d-2f751bd25645
Started true
Progress 0/2
Complete false
OTP qcORXBRLKFb1h2Dmyjr73i80jv
OTP Length 26

17:19пожаловаться #2

vault operator generate-root -nonce 105f400f-23fb-a779-677d-2f751bd25645

2 раза, потом

vault operator generate-root -nonce 105f400f-23fb-a779-677d-2f751bd25645 -decode <something>

Токен итоговый должен быть сервисным, то есть начинаться с

s.

17:22пожаловаться #3

Я забыл пригодится ли OTP

17:23пожаловаться #4

Мб вот так

vault operator generate-root -decode <generated_token> -otp qcORXBRLKFb1h2Dmyjr73i80jv

17:24пожаловаться #5

thnx

17:26пожаловаться #6

попробую

17:26пожаловаться #7

Упёрся вот в это:

Code: 400. Errors:

* root generation already in progress

19:59пожаловаться #8

Как прервать генерацию?

20:00пожаловаться #9

Egor Urvanov

Упёрся вот в это:

Code: 400. Errors:

* root generation already in progress

19:45:20 yura port-term /home/yura 
$ vault operator generate-root -
-address             -cancel              -client-key          -format              -mfa                 -otp                 -policy-override     -tls-server-name     
-agent-address       -ca-path             -decode              -generate-otp        -namespace           -output-curl-string  -recovery-token      -tls-skip-verify     
-ca-cert             -client-cert         -dr-token            -init                -nonce               -pgp-key             -status              -wrap-ttl

19:45:20 yura port-term /home/yura 
$ vault operator generate-root -cancel

20:00пожаловаться #10

thnx

20:01пожаловаться #11

Egor Urvanov

thnx

в команду мб понадобится -nonce добавить. Я оч давно удалил рут токен и ни разу не приходилось генерить после.

20:02пожаловаться #12

как волтом рулить без рутового токена? :O

20:03пожаловаться #13

Sergei Mikhaltsov

как волтом рулить без рутового токена? :O

У нас специальная сервисная УЗ, которая может ходить лишь с определённых хостов. Минимально необходимый набор политик.

20:05пожаловаться #14

Yura Shutkin (pc)

вы ж вроде ансиблом рулите?

20:05пожаловаться #15

Sergei Mikhaltsov

вы ж вроде ансиблом рулите?

Верно. Но для доступа используется учётка типа approle. Только с определённых хостов, только из мастер ветки репозитория с конфигами.

20:07пожаловаться #16

а волт наполняете ручками потом?

20:08пожаловаться #17

Никто не запрещает, кроме СБ, зайти на хост с которого разрешено, но, эти хосты почти совместимы с требованиями PCI-DSS. За попытку входа и за удачный вход, а особенно за авторизацию придут СБшники с вопросами

20:08пожаловаться #18

а шо так сурово то %)

20:09пожаловаться #19

Sergei Mikhaltsov

а волт наполняете ручками потом?

Если ты про секреты - команды сами заполняют свои Secret Engine. У админов волта есть только относительная статистика: типа сколько секретов хранится, какой объём серкетов в зашифрованном виде.