//,如何在Linux上将访问令牌保护到Hashicorp Vault等远程自动秘

在研究某些Linux服务器时,有人聪明地问道,
“如果我们将所有秘密存储在秘密存储服务中,我们将访问密钥存储在该秘密存储服务中？
在我们的秘密存储服务？“?

我吃了一惊,因为如果我存储秘密的所有Linux服务器都有其访问令牌,那么使用单独的秘密存储服务是没有意义的.

例如,如果我将我的秘密移到Vault,我是否还需要存储秘密才能在Linux服务器上的某个位置访问Hashicorp Vault？

有人谈论以一些创造性的方式解决这个问题,至少让事情变得比现在好.
我们可以做一些聪明的事情,比如基于CIDR或密码mashup的auth.
但仍然需要权衡安全性
例如,如果黑客获得对我的计算机的访问权限,则如果访问权限基于CIDR,则他们可以进入保险库.

这个问题可能没有答案,在这种情况下,答案是“不,这没有普遍接受的银弹解决方案,去创造性,找到你的权衡bla bla bla”

我想回答以下具体问题：

是否有一种普遍接受的方法可以将密码保存到现代Linux服务器上的Hashicorp Vault等远程自动秘密存储中？

显然,明文是不可能的.

对此有规范的答案吗？我甚至在正确的地方问过这件事吗？我也考虑过security.stackexchange.com,但这似乎是一种存储Linux服务器机密的方法.我知道这可能看起来太笼统或基于意见,所以我欢迎您可能必须避免的任何编辑建议.

?我们笑了,但我在这里得到的答案很可能是“在金库中”. ：/
例如,Jenkins服务器或其他东西有a 6-month revokable password that it uses to generate one-time-use tokens,which they then get to use to get their own little ephemeral (session limited) password generated from Vault,which gets them a segment of info.

这样的事情似乎也是如此,尽管它只是解决方案的一部分：Managing service passwords with Puppet