Шифрование конфигурационного файла .env
Описание
Принтум поддерживает шифрование конфигурационного файла .env с помощью переменной ENV_VAULT_PASSWORD и утилиты env-vault. При включённом шифровании файл хранится в зашифрованном виде (.env.enc), а все команды запуска системы требуют указания пароля.
Активация шифрования при установке Мониторинга
Для активации шифрования при установке дополнительно задайте переменную ENV_VAULT_PASSWORD.
Онлайн-установка
По доменному имени:
sudo curl -L https://s3.printum.io/box/monitoring/install.sh | sudo -E MON_HOSTNAME=<hostname> ENV_VAULT_PASSWORD=<password> bash -s agentПо IP-адресу:
sudo curl -L https://s3.printum.io/box/monitoring/install.sh | sudo -E IP_ADDRESS=<ip> ENV_VAULT_PASSWORD=<password> bash -s agentОфлайн-установка
По доменному имени:
sudo MON_HOSTNAME=<hostname> ENV_VAULT_PASSWORD=<password> -E ./install.sh agentПо IP-адресу:
sudo IP_ADDRESS=<ip> ENV_VAULT_PASSWORD=<password> -E ./install.sh agentВ процессе установки необходимо будет повторно ввести пароль.
Активация шифрования при установке ПринтМенеджера
Онлайн-установка по IP:
| sudo -E PM_HOSTNAME=<ip> ENV_VAULT_PASSWORD=<password> bashОфлайн-установка:
sudo PM_HOSTNAME=<ip> ENV_VAULT_PASSWORD=<password> -E ./install.shБез указания переменной ENV_VAULT_PASSWORD установка ПринтМенеджера на зашифрованный сервер мониторинга невозможна.
Изменение значений переменных в зашифрованном .env файле
Для Мониторинга
- Перейдите в каталог установки:
cd /opt/printum- Остановите контейнеры:
sudo -E ENV_VAULT_PASSWORD=<password> env-vault .env.enc docker-compose down- Откройте зашифрованный файл для редактирования:
sudo -E ENV_VAULT_PASSWORD=<password> env-vault edit .env.encОткроется системный редактор по умолчанию (например, vim). Внесите изменения и сохраните файл (в vim: введите :wq).
- Перезапустите контейнеры:
cd /opt/printum
sudo -E ENV_VAULT_PASSWORD=<password> env-vault .env.enc docker-compose -- up -dДля ПринтМенеджера
Следуйте аналогичной инструкции, заменяя путь к каталогу:
cd /opt/printmanagerСмена пароля шифрования
Для Мониторинга
- Сбросьте переменную среды:
unset ENV_VAULT_PASSWORD- Запустите процесс смены пароля:
env-vault rekey /opt/printum/.env.enc- Введите текущий пароль, затем новый пароль дважды для подтверждения.
- После смены пароля запустите систему с новым паролем:
cd /opt/printum
sudo -E ENV_VAULT_PASSWORD=<password> env-vault .env.enc docker-compose -- up -dДля ПринтМенеджера
- Сбросьте переменную среды:
unset ENV_VAULT_PASSWORD- Запустите процесс смены пароля:
env-vault rekey /opt/printmanager/.env.enc- Введите текущий пароль, затем новый пароль дважды для подтверждения.
- Перезапустите систему с новым паролем:
cd /opt/printmanager
sudo -E ENV_VAULT_PASSWORD=<password> env-vault .env.enc docker-compose -- up -dРезервное копирование при шифровании
При создании резервной копии на зашифрованной системе необходимо передавать пароль:
sudo -E ENV_VAULT_PASSWORD=<password> /opt/printum/backup.sh /home/user/backupДля только ПринтМенеджера:
sudo -E ENV_VAULT_PASSWORD=<password> /opt/printmanager/backup.sh /home/user/backupПри отсутствии ENV_VAULT_PASSWORD резервная копия будет создана без расшифровки файла конфигурации.
Примечания
- Для работы с шифрованными файлами необходимо наличие утилиты
env-vaultна сервере. - При работе с конфигурационными файлами рекомендуется заранее создать резервную копию.