在 Hashicorp Vault 中,如何防止“userpass”用户更改彼此的策略和密码?

【问题标题】:In Hashicorp Vault, how can I prevent "userpass" users from changing each others policies and passwords?在 Hashicorp Vault 中,如何防止“userpass”用户更改彼此的策略和密码?
【发布时间】:2018-03-25 01:55:39
【问题描述】:

创建第一个用户后,我注意到我可以更改自己的策略:

$ vault write auth/userpass/users/mconigliaro policies=root
Success! Data written to: auth/userpass/users/mconigliaro

更糟糕的是,看起来用户可以更改彼此的密码:

$ vault write auth/userpass/users/mconigliaro2 password=foobar
Success! Data written to: auth/userpass/users/mconigliaro2

看着policy documentation,我想我应该能够创建一个看起来像这样的策略:

path "auth/userpass/users/${user}" {
  capabilities = ["update"]
  allowed_parameters = {
    "password" = []
  } 
}

但不幸的是,这取决于保险柜似乎没有的策略变量(例如${user})的概念。我是否必须使用硬编码路径为每个用户创建单独的策略,还是我缺少一些更简单的方法?

【问题讨论】:

    标签: hashicorp-vault


    【解决方案1】:

    您目前通过 Vault 验证的用户/令牌是什么?我猜是根?所以是的,你可以做任何事情。您,当然还有您的用户,通常不会拥有 root 权限。

    作为您创建的用户之一登录,您会发现无法执行您描述的操作。

    【讨论】:

    • 糟糕,我认为你是对的。我一定是无意中使用了根令牌。谢谢!
    猜你喜欢
    • 2020-03-01
    • 1970-01-01
    • 1970-01-01
    • 2021-10-19
    • 1970-01-01
    • 2020-08-11
    • 1970-01-01
    • 1970-01-01
    • 2017-05-09
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode