systemd 256 и новый механизм credentials — кто уже использует для хранения секретов в сервисах?

[sepiatone]

В systemd 256 (Ubuntu 24.04 LTS его уже включает) появился нормальный механизм LoadCredentialEncrypted. Позволяет хранить зашифрованные секреты (токены, пароли) прямо в юнит-файлах без .env файлов и без Vault. Ключ шифрования — TPM2 или машинный ключ. Кто уже попробовал в продакшне? Интересует насколько это удобнее чем Environment=file:/etc/app/secrets или секреты через HashiCorp Vault Agent.

[lena87]

Использую systemd credentials с systemd 255+ уже полгода на нескольких серверах (Debian 12 + backports). Команда для шифрования секрета: systemd-creds encrypt --name=db-password - - <<< 'mysecretpass' > /etc/credstore.encrypted/db-password.cred. Потом в юните: LoadCredentialEncrypted=db-password:/etc/credstore.encrypted/db-password.cred. В сервисе секрет доступен через $CREDENTIALS_DIRECTORY/db-password. Очень удобно — никаких .env с правами 600 которые забывают ротировать.

[Tcraw62981]

Вопрос по TPM2 binding: если сервер переустановить или поменять материнку — секреты станут недешифруемыми? Это критично для DR сценария. Как вы это решаете?

[juniorredteam]

Ещё момент: в systemd 256 добавили SetCredential= для дефолтных значений и ImportCredential= для наследования от родительского процесса — это открывает интересные возможности для контейнеров systemd-nspawn. Можно пробрасывать секреты в контейнер не через переменные окружения. Для тех кто использует nspawn вместо Docker это реально полезно.

[redislover]

Да, именно так — TPM2-bound секреты привязаны к конкретному железу. Для DR мы используем комбинацию: критичные секреты шифруем с --tpm2-pcrs= только для нод где это оправдано (высокий риск кражи железа), остальное через machine-id binding который пересоздаётся при переустановке, но зато можно бэкапить и мигрировать. Для полноценного DR всё равно нужен Vault или аналог — systemd credentials скорее замена .env файлов, не замена secret management системы.

[theopal]

Для небольших проектов (VPS, homelab) systemd credentials — это отличный баланс между безопасностью и простотой. На Hetzner VPS без TPM шифруется через machine-id, что не идеально но лучше чем plaintext. Плюс audit через journald — видно когда сервис обращался к credentials. Vault за это берёт деньги и требует отдельный сервер.