Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/ms-access/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Hashicorp vault 在Hashicorp Vault中,如何防止;“用户通行证”;用户是否可以互相更改策略和密码?_Hashicorp Vault - Fatal编程技术网
Fatal编程技术网
  • hashicorp-vault/
  • Hashicorp vault 在Hashicorp Vault中,如何防止;“用户通行证”;用户是否可以互相更改策略和密码?

Hashicorp vault 在Hashicorp Vault中,如何防止;“用户通行证”;用户是否可以互相更改策略和密码?

Hashicorp vault 在Hashicorp Vault中,如何防止;“用户通行证”;用户是否可以互相更改策略和密码?,hashicorp-vault,Hashicorp Vault,创建第一个用户后,我注意到我可以更改自己的策略: $ vault write auth/userpass/users/mconigliaro policies=root Success! Data written to: auth/userpass/users/mconigliaro 更糟糕的是,用户似乎可以更改彼此的密码: $ vault write auth/userpass/users/mconigliaro2 password=foobar Success! Data written

创建第一个用户后,我注意到我可以更改自己的策略:

$ vault write auth/userpass/users/mconigliaro policies=root
Success! Data written to: auth/userpass/users/mconigliaro
更糟糕的是,用户似乎可以更改彼此的密码:

$ vault write auth/userpass/users/mconigliaro2 password=foobar
Success! Data written to: auth/userpass/users/mconigliaro2
看一下,我认为我应该能够创建一个类似以下内容的策略:

path "auth/userpass/users/${user}" {
  capabilities = ["update"]
  allowed_parameters = {
    "password" = []
  } 
}
但不幸的是,这取决于Vault似乎没有的策略变量(例如,
${user}
)的概念。我是否必须为每个具有硬编码路径的用户创建单独的策略,或者是否缺少某种更简单的方法?

您当前使用Vault验证的用户/令牌是什么?我猜是根?所以是的,你可以做任何事。您,当然还有您的用户,通常不会有root权限

作为您创建的用户之一登录,您将发现无法执行您描述的操作。

Oops,我认为您是对的。我一定是无意中使用了根令牌。谢谢