Initial vault setup

2026-06-09 18:40:21 +02:00
commit bda02d587f
3692 changed files with 402457 additions and 0 deletions
@@ -0,0 +1,172 @@
+---
+title: OpenBao
+created: 2026-06-06
+updated: 2026-06-06
+type: app
+tags: [catalogue, password-manager, secrets, certificates, enterprise, go]
+confidence: high
+contested: false
+sources: [https://selfh.st/apps/?tag=Password+Manager, https://openbao.org/]
+---
+# 🔑 OpenBao
+
+> **Fork open-source d'HashiCorp Vault** (suite au changement de licence BSL). Stockage de secrets, certificats, et clés pour les entreprises.
+
+## 📋 Informations Générales
+
+| Champ | Valeur |
+| :--- | :--- |
+| **Site web** | [openbao.org](https://openbao.org/) |
+| **GitHub** | [openbao/openbao](https://github.com/openbao/openbao) |
+| **License** | MPL-2.0 (Mozilla Public License) |
+| **Langage** | Go |
+| **Étoiles GitHub** | 6k ⭐ |
+| **Dernière MAJ** | 2026-06-05 |
+| **Catégorie** | [[cat-password-manager|Password Manager]] |
+
+## 📝 Description
+
+**OpenBao** est un **fork communautaire d'HashiCorp Vault**, créé en 2024 suite au changement de licence de Vault (de MPL vers BSL). OpenBao garde la **même API et les mêmes features** que Vault, mais reste **100% open source** :
+
+- ✅ **Stockage de secrets** : clés API, tokens, mots de passe
+- ✅ **PKI / Certificats** : génération de certificats X.509
+- ✅ **Transit** : chiffrement/ déchiffrement à la volée (encryption-as-a-service)
+- ✅ **Storage backends** : Consul, S3, PostgreSQL, File, etc.
+- ✅ **Auth methods** : tokens, Kubernetes, AWS, GitHub, LDAP, OIDC
+- ✅ **Audit log** : tous les accès loggés
+- ✅ **Policies** en HCL : contrôle d'accès fin
+- ✅ **UI web** : pour la gestion
+- ✅ **Auto-unseal** : avec AWS KMS, GCP CKMS, Azure Key Vault
+
+**Public cible** : **entreprises** qui ont besoin d'une infrastructure de secrets **critique**, avec **HA, performance, et compliance**.
+
+## 🚀 Installation
+
+### Option 1 : Docker Compose (mode dev)
+
+```yaml
+# docker-compose.yml
+version: '3.8'
+services:
+  openbao:
+    image: openbao/openbao:latest
+    container_name: openbao
+    restart: unless-stopped
+    ports:
+      - "8200:8200"
+    environment:
+      - VAULT_DEV_ROOT_TOKEN_ID=root
+      - VAULT_DEV_LISTEN_ADDRESS=0.0.0.0:8200
+    cap_add:
+      - IPC_LOCK
+    labels:
+      - "traefik.enable=true"
+      - "traefik.http.routers.openbao.rule=Host(`bao.example.com`)"
+      - "traefik.http.routers.openbao.entrypoints=websecure"
+      - "traefik.http.routers.openbao.tls.certresolver=letsencrypt"
+```
+
+> ⚠️ **Mode dev uniquement**. En production, utiliser un backend de stockage externe et configurer auto-unseal.
+
+### Option 2 : Production (Linux natif)
+
+```bash
+# Ajouter le repo OpenBao
+wget -O- https://packages.openbao.org/openbao/openbao-key.gpg | gpg --dearmor | sudo tee /usr/share/keyrings/openbao-key.gpg
+echo "deb [signed-by=/usr/share/keyrings/openbao-key.gpg] https://packages.openbao.org/deb/ stable main" | sudo tee /etc/apt/sources.list.d/openbao.list
+sudo apt update
+sudo apt install openbao
+
+# Démarrer
+sudo systemctl enable openbao
+sudo systemctl start openbao
+
+# Initialiser
+bao operator init
+bao operator unseal
+```
+
+## ⚙️ Configuration Initiale
+
+1. **Init** : `bao operator init` (génère les unseal keys + root token)
+2. **Unseal** : fournir 3 des 5 unseal keys (configurable)
+3. **Login** : `bao login <root_token>`
+4. **Activer un auth method** : `bao auth enable kubernetes/`
+5. **Activer un secret engine** : `bao secrets enable -path=kv kv-v2`
+6. **Écrire des policies** : en HCL
+7. **Connecter vos apps** : via token, K8s service account, etc.
+
+### Exemple : secret KV v2
+
+```bash
+# Écrire un secret
+bao kv put -mount=secret db/password value=supersecret
+
+# Lire
+bao kv get -mount=secret db/password
+```
+
+### Exemple : PKI
+
+```bash
+# Activer PKI
+bao secrets enable pki
+
+# Créer la CA root
+bao pki/root/generate/internal common_name=example.com ttl=87600h
+
+# Créer un rôle
+bao pki/roles/example-dot-com allowed_domains=example.com ttl=1h
+
+# Délivrer un cert
+bao pki/issue/example-dot-com common_name=app.example.com
+```
+
+## 🔄 Alternatives
+
+### Open Source
+- [[app-infisical]] — Plus simple à prendre en main
+- **HashiCorp Vault** — Le standard (mais BSL depuis 2024)
+- **Bitnami Sealed Secrets** — Pour K8s uniquement
+- **SOPS** (Mozilla) — File-based encryption
+
+### Comparaison OpenBao vs Vault
+
+| Critère | OpenBao | HashiCorp Vault |
+| :--- | :--- | :--- |
+| License | MPL-2.0 | BSL (restrictive) |
+| API | Identique à Vault | Identique |
+| Features | Toutes | Toutes |
+| Enterprise | Non | Oui (payant) |
+| Communauté | Petite mais grandissante | Énorme |
+| Documentation | Plus jeune | Très mature |
+
+**Verdict** : OpenBao pour rester **100% open source** et éviter la BSL. Vault si vous avez besoin du **support enterprise HashiCorp**.
+
+### Propriétaires (ce qu'OpenBao remplace)
+- **HashiCorp Vault Enterprise** (cher)
+- **AWS Secrets Manager** (cher à l'usage)
+- **CyberArk** (très cher, enterprise)
+- **Azure Key Vault** (cher)
+
+## 🔐 Sécurité
+
+- **Chiffrement AES-256-GCM** au repos
+- **Shamir's Secret Sharing** pour l'unseal
+- **mTLS** pour la communication
+- **Audit log** : fichier, syslog, socket
+- **Policies** : contrôle d'accès fin
+- **HCP** (HashiCorp Boundary) pour SSH/certificats
+
+## 📚 Ressources
+
+- [Site officiel](https://openbao.org/)
+- [Documentation](https://openbao.org/docs/)
+- [GitHub openbao/openbao](https://github.com/openbao/openbao)
+- [Migration guide depuis Vault](https://openbao.org/docs/migration/)
+
+## Pages Liées
+- [[cat-password-manager]] — Catégorie
+- [[app-infisical]] — Plus simple
+- [[secret-management]] — Concepts
+- [[tls-https]] — PKI et certificats