Vault - 生成秘密而不泄露它？

很想问您的确切用例是什么……但这是在 Vault 中存储 32 个随机字母数字（我认为）字符的简单方法。

vault write secret/my/awesome/secret - << EOF
{ "key":"$(< /dev/urandom tr -dc A-Za-z0-9 | head -c${1:-32};echo;)" }
EOF

回读字符是标准的 K/V 操作：

$ vault read --field=key secret/my/awesome/secret
FA9hxKMejhKyRHVAclPQbNWaLFDPUMky

这种方法的问题在于它使用了 Linux 的“here 文件”，因此随机字符是由 user 生成的，而不是 Vault。即使用户看不到它，这也可能是个问题。恶意用户可以编写一个众所周知的字符串而不是随机字符串。迂腐的读者也可能会争辩说 Vault 和 openssl 熵可能不同。

如果您希望 Vault 在没有用户参与的情况下生成字符，您将不得不忘记可打印字符。Vault 拥有一流的加密技术，无法将其随机性限制为一组可打印的 ASCII。有多种方法可以生成 base64 编码输出，但 base64 中有一些模式可以降低生成字符串的（已经很低）熵。

但是，如果您可以接受纯随机性，那么您可能会滥用传输秘密后端的功能。首先启用它：

vault secrets enable transit

要求 Vault 生成密钥并永久保存。我命名了那个键serverfault：

vault write --force transit/keys/serverfault

现在您有了一个密钥，使用恰好产生 32 个字节的算法产生一个 Seinfeld 散列（一个什么都没有的散列）。第二行 ( cut|openssl|xxd) 仅用于漂亮的打印，请根据您的喜好调整：

vault write --field=hmac transit/hmac/serverfault algorithm=sha2-256 input=AAAA \
   | cut -d: -f3 | openssl base64 -d -A | xxd

00000000: d2e5 8e43 bed4 13be 4488 1823 457b 4575  ...C....D..#E{Eu
00000010: 3030 8059 198e 669a bdaa cbb6 d4e7 8130  00.Y..f........0

多试几次，总能得到相同的输出。要获得一个新的、完全随机的值，只需更改 HMAC密钥：

vault write --force transit/keys/serverfault/rotate

获取随机字节的命令现在产生一个新值：

vault write --field=hmac transit/hmac/serverfault algorithm=sha2-256 input=AAAA \
   | cut -d: -f3 | openssl base64 -d -A | xxd

00000000: d2e5 8e43 bed4 13be 4488 1823 457b 4575  ...C....D..#E{Eu
00000010: 3030 8059 198e 669a bdaa cbb6 d4e7 8130  00.Y..f........0

此方法还允许您创建多个密钥（例如命名production和test）并在每个路径上设置不同的策略，因此并非所有用户都可以更改随机值（也就是轮换密钥）。