vellis/wiki
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
master
wiki/Catalogue-Self-Hosted/apps/app-openbao.md
T
vellis bda02d587f Initial vault setup
2026-06-09 18:40:21 +02:00

5.4 KiB
Raw Permalink Blame History

title: OpenBao created: 2026-06-06 updated: 2026-06-06 type: app tags: [catalogue, password-manager, secrets, certificates, enterprise, go] confidence: high contested: false sources: [https://selfh.st/apps/?tag=Password+Manager, https://openbao.org/]

🔑 OpenBao

Fork open-source d'HashiCorp Vault (suite au changement de licence BSL). Stockage de secrets, certificats, et clés pour les entreprises.

📋 Informations Générales

Champ Valeur
Site web openbao.org
GitHub openbao/openbao
License MPL-2.0 (Mozilla Public License)
Langage Go
Étoiles GitHub 6k
Dernière MAJ 2026-06-05
Catégorie [[cat-password-manager

📝 Description

OpenBao est un fork communautaire d'HashiCorp Vault, créé en 2024 suite au changement de licence de Vault (de MPL vers BSL). OpenBao garde la même API et les mêmes features que Vault, mais reste 100% open source :

  • Stockage de secrets : clés API, tokens, mots de passe
  • PKI / Certificats : génération de certificats X.509
  • Transit : chiffrement/ déchiffrement à la volée (encryption-as-a-service)
  • Storage backends : Consul, S3, PostgreSQL, File, etc.
  • Auth methods : tokens, Kubernetes, AWS, GitHub, LDAP, OIDC
  • Audit log : tous les accès loggés
  • Policies en HCL : contrôle d'accès fin
  • UI web : pour la gestion
  • Auto-unseal : avec AWS KMS, GCP CKMS, Azure Key Vault

Public cible : entreprises qui ont besoin d'une infrastructure de secrets critique, avec HA, performance, et compliance.

🚀 Installation

Option 1 : Docker Compose (mode dev)

# docker-compose.yml
version: '3.8'
services:
  openbao:
    image: openbao/openbao:latest
    container_name: openbao
    restart: unless-stopped
    ports:
      - "8200:8200"
    environment:
      - VAULT_DEV_ROOT_TOKEN_ID=root
      - VAULT_DEV_LISTEN_ADDRESS=0.0.0.0:8200
    cap_add:
      - IPC_LOCK
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.openbao.rule=Host(`bao.example.com`)"
      - "traefik.http.routers.openbao.entrypoints=websecure"
      - "traefik.http.routers.openbao.tls.certresolver=letsencrypt"

⚠️ Mode dev uniquement. En production, utiliser un backend de stockage externe et configurer auto-unseal.

Option 2 : Production (Linux natif)

# Ajouter le repo OpenBao
wget -O- https://packages.openbao.org/openbao/openbao-key.gpg | gpg --dearmor | sudo tee /usr/share/keyrings/openbao-key.gpg
echo "deb [signed-by=/usr/share/keyrings/openbao-key.gpg] https://packages.openbao.org/deb/ stable main" | sudo tee /etc/apt/sources.list.d/openbao.list
sudo apt update
sudo apt install openbao

# Démarrer
sudo systemctl enable openbao
sudo systemctl start openbao

# Initialiser
bao operator init
bao operator unseal

⚙️ Configuration Initiale

  1. Init : bao operator init (génère les unseal keys + root token)
  2. Unseal : fournir 3 des 5 unseal keys (configurable)
  3. Login : bao login <root_token>
  4. Activer un auth method : bao auth enable kubernetes/
  5. Activer un secret engine : bao secrets enable -path=kv kv-v2
  6. Écrire des policies : en HCL
  7. Connecter vos apps : via token, K8s service account, etc.

Exemple : secret KV v2

# Écrire un secret
bao kv put -mount=secret db/password value=supersecret

# Lire
bao kv get -mount=secret db/password

Exemple : PKI

# Activer PKI
bao secrets enable pki

# Créer la CA root
bao pki/root/generate/internal common_name=example.com ttl=87600h

# Créer un rôle
bao pki/roles/example-dot-com allowed_domains=example.com ttl=1h

# Délivrer un cert
bao pki/issue/example-dot-com common_name=app.example.com

🔄 Alternatives

Open Source

  • app-infisical — Plus simple à prendre en main
  • HashiCorp Vault — Le standard (mais BSL depuis 2024)
  • Bitnami Sealed Secrets — Pour K8s uniquement
  • SOPS (Mozilla) — File-based encryption

Comparaison OpenBao vs Vault

Critère OpenBao HashiCorp Vault
License MPL-2.0 BSL (restrictive)
API Identique à Vault Identique
Features Toutes Toutes
Enterprise Non Oui (payant)
Communauté Petite mais grandissante Énorme
Documentation Plus jeune Très mature

Verdict : OpenBao pour rester 100% open source et éviter la BSL. Vault si vous avez besoin du support enterprise HashiCorp.

Propriétaires (ce qu'OpenBao remplace)

  • HashiCorp Vault Enterprise (cher)
  • AWS Secrets Manager (cher à l'usage)
  • CyberArk (très cher, enterprise)
  • Azure Key Vault (cher)

🔐 Sécurité

  • Chiffrement AES-256-GCM au repos
  • Shamir's Secret Sharing pour l'unseal
  • mTLS pour la communication
  • Audit log : fichier, syslog, socket
  • Policies : contrôle d'accès fin
  • HCP (HashiCorp Boundary) pour SSH/certificats

📚 Ressources

Pages Liées

Reference in New Issue View Git Blame Copy Permalink