Hashicorp Vault: Audit log (2)

昨天忘記介紹一個方便的參數，但方便也伴隨著安全問題。

問題:

log 都被編碼了，怎麼看?

大部分打開audit log都會看到有hmac-sha256的編碼，沒有辦法很直覺的閱讀，這是因為預設情況下hmac_accessor = true是開啟編碼的。

預設編碼過的內容:

{
   "time":"2020-08-11T05:55:42.792508611Z",
   "type":"request",
   "auth":{
      "client_token":"hmac-sha256:xxxxxxx5",
      "accessor":"hmac-sha256:xxxxxx9e2951",
      "display_name":"vault",
      "policies":[
         "xxx"
      ],
      "token_policies":[
         "xxxx"
      ],
      "token_type":"service",
      "token_issue_time":"2020-06-05T11:52:43+08:00"
   },
   "request":{
      "id":"a2ex-x-xx-xx324",
      "operation":"read",
      "mount_type":"system",
      "client_token":"hmac-sha256:21xxxxxx41e6d5",
      "client_token_accessor":"hmac-sha256:4ebee3b4614xxxxx9f9e2951",
      "namespace":{
         "id":"xxxx"
      },
      "path":"sys/mounts",
      "remote_address":"10.x.x.x"
   }
}

解決方法

只要將hmac_accessor = false就可以看到明碼,不過token,accessor等資訊會直接暴露出來，prd環境建議還是啟動比較好。