## HashiCorp Vault 密钥管理系统 **官方网站:** https://www.vaultproject.io/ **仓库地址:** https://github.com/lazycatapps/vault.git **快速开始指南:** https://github.com/lazycatapps/vault/blob/main/QUICKSTART.md HashiCorp Vault 是一个强大的密钥管理工具,用于安全地存储和访问密钥、密码、证书、API 密钥等敏感信息。Vault 提供了统一的接口来访问任何密钥,同时提供严格的访问控制和详细的审计日志。 本应用提供了完整的 Vault 服务器环境,支持 Web UI 和 API 访问,适用于开发和测试环境。 ## 访问地址 应用安装后,可通过以下地址访问: `https://vault.{box-name}.heiyu.space` ## 主要功能 - 🔐 安全存储敏感信息(密码、API 密钥、证书等) - 📝 Key-Value 密钥引擎,支持版本控制 - 🔄 动态密钥生成(数据库、云服务等) - 🔑 多种身份验证方法(Token、LDAP、GitHub 等) - 📊 详细的审计日志记录 - 🌐 RESTful API 和命令行工具 - 🎨 直观的 Web 用户界面 - 🔒 数据加密和访问控制策略 ## 首次使用说明(重要) **注意:Vault 在首次启动时需要进行初始化和解封操作,这是 Vault 安全机制的重要组成部分!** ### 通过 Web UI 初始化(推荐) 1. 访问应用的 Web 界面 2. 点击 "Initialize" 按钮 3. 配置密钥分片数量和解封阈值 4. 点击 "Initialize" 完成初始化 5. **重要:立即下载或复制保存所有 Unseal Keys 和 Root Token!这些信息一旦丢失无法恢复!** 6. 使用所需数量的 Unseal Keys 依次解封 Vault 7. 使用 Root Token 登录系统 ## 使用方法 ### Web UI 操作 1. 使用 Root Token 或其他认证方式登录 2. 启用需要的密钥引擎(如 KV v2) 3. 创建和管理密钥 4. 配置访问策略和认证方法 5. 查看审计日志 ## 安全注意事项 - 🔑 **Unseal Keys 管理**:请将 Unseal Keys 分散保管在安全的地方,需要达到设定的阈值数量才能解封 Vault - 🎫 **Root Token 保护**:Root Token 具有完全权限,请妥善保管并考虑使用其他认证方法替代日常使用 - 🔒 **生产环境配置**:当前配置禁用了 TLS,仅适用于开发测试。生产环境请务必启用 TLS 加密 - 💾 **数据备份**:定期备份 Vault 数据和配置,确保密钥不会丢失 - 📝 **审计日志**:建议启用审计日志功能,记录所有访问行为 ## 常见问题 ### Vault 处于 sealed 状态 Vault 每次重启后会自动进入 sealed(密封)状态,需要重新解封。请通过 Web UI 访问界面,输入所需数量的 Unseal Keys 进行解封。 ### 忘记 Root Token 如果忘记 Root Token,可以使用 Unseal Keys 生成新的 Root Token。具体操作请参考 Vault 官方文档。