Version 18 - Historique - Vaultwarden(bitwarden) - Services - L'atelier d'Aquilenet

Vaultwarden(bitwarden) » Historique » Version 18

johan.le.baut, 13/10/2022 14:00

-johan.le.baut
+# Vaultwarden (bitwarden)
 johan.le.baut
-johan.le.baut
+{{toc}}
 johan.le.baut
-johan.le.baut
+Bitwarden est un gestionnaire de mot de passes.
 johan.le.baut
-johan.le.baut
+Vaultwarden est la version Rust de Biwarden: https://github.com/dani-garcia/vaultwarden
 johan.le.baut
 Il est disponible sur: https://coffre.aquilenet.fr/
 Pour l'admin: https://coffre.aquilenet.fr/admin
 Server: harpocrates
 johan.le.baut
 johan.le.baut
 ## Configuration
 ### Accès utilisateurs
-johan.le.baut
+On autorise l'inscription à tous les utilisateurs ayant un mail en **@aquilenet.fr**
 johan.le.baut
-johan.le.baut
+Pour valider son inscription un utilisateur doit comfirmer via l'email reçu de vaultwarden.
 Il est possible d'inviter des gens extérieurs via la page d'admin uniquement.
 johan.le.baut
 ### Accès admin
 On accède à la page d'admin via https://coffre.aquilenet.fr/admin
 Un token est demandé, il est visible sur Harpocrates dans /var/www/bitwarden/docker-compose.yaml
 On ajoute en sécurité supplémentaire une Basic Auth dans Nginx, le fichier de conf est: `/var/www/bitwarden/.htpasswd`
 Il contient les admins de Harpocrates avec le même hash password du /etc/shadow
 ## Installation
 johan.le.baut
-johan.le.baut
+Sur le serveur Harpocrates, on installe le service vaultwarden, avec un reverse proxy nginx.
 johan.le.baut
-johan.le.baut
+### installation du service
 johan.le.baut
-johan.le.baut
+On peut le lancer via docker ou builder manuellement le service.
 johan.le.baut
-johan.le.baut
+En ce moment la méthode manuelle est utilisée.
 johan.le.baut
-johan.le.baut
+#### via docker et docker compose
 johan.le.baut
 . Créer le dossier pour la data du service:
 ```
 mkdir -p /srv/vw-data
 chown -R bitwarden:bitwarden /srv/vw-data
 ```
 . On décrit le container docker à lancer via docker compose
-johan.le.baut
+`cat /var/www/bitwarden/docker-compose.yaml`
-johan.le.baut
+```yaml
-johan.le.baut
+version: '3'
 services:
   vaultwarden:
-johan.le.baut
+    image: vaultwarden/server:1.25.2
-johan.le.baut
+    container_name: vaultwarden
     restart: always
     user: 1000:1000 # bitwarden user
-johan.le.baut
+    ports:
       - "127.0.0.1:8080:80"   # port app
-johan.le.baut
+      - "127.0.0.1:3012:3012" # port web socket
-johan.le.baut
+    environment:
-johan.le.baut
+      ADMIN_TOKEN: <Admin token> # token to connect to admin
       WEBSOCKET_ENABLED: "true"  # Enable WebSocket notifications.
       SIGNUPS_DOMAINS_WHITELIST: aquilenet.fr # on autorise seulement le @aquilenet.fr
-johan.le.baut
+      SIGNUPS_VERIFY: true
-johan.le.baut
+      INVITATIONS_ALLOWED: false  # Les utilisateurs ne peuvent pas inviter des non inscrits (seulement admin)
-johan.le.baut
+    volumes:
-johan.le.baut
+      - /srv/vw-data:/data
 johan.le.baut
 ```
 Il est possible de configurer d'autre choses via la page admin
-johan.le.baut
+. Une fois docker installé, pour démarrer en background:
-johan.le.baut
+`cd /var/www/bitwarden/ && docker compose up -d`
 johan.le.baut
 (4. Mise à jour)
 Ouvrir `/var/www/bitwarden/docker-compose.yaml`
 changer `image: vaultwarden/server:<nouvelle version>`
 Restart:
 ```
 cd /var/www/bitwarden/
 docker compose down # Service sera étteint
 docker compose up -d --force-recreate
 ```
-johan.le.baut
+#### Sans docker (actuel):
 johan.le.baut
 Il faut compiler le service et le lancer dans un systemd:
 Suivre: https://gist.github.com/heinoldenhuis/f8164f73e5bff048e76fb4fff2e824e1
 johan.le.baut
-johan.le.baut
+Pour le build du 'web-vault', on peut utiliser dans bw_web_builds la cmd `make docker-extract`, il créera le dossier `docker_builds/web-vault` (pas besoin d'installer NodeJs de cette manière).
-johan.le.baut
+Install actuelle:
 - systemd file: `/etc/systemd/system/vaultwarden.service`
 - vaultwarden:
   - sources dir: /var/www/bitwarden/vaultwarden
   - binaire: /var/www/bitwarden/vaultwarden/target/release/vaultwarden
   - data dir: /var/www/bitwarden/vaultwarden/target/release/data
   - env file (config): /var/www/bitwarden/vaultwarden/target/release/.env
-johan.le.baut
+    - config:
 johan.le.baut
-johan.le.baut
+```
-johan.le.baut
+WEB_VAULT_FOLDER=/var/www/bitwarden/bw_web_builds/docker_builds/web-vault
 WEBSOCKET_ENABLED=true
 SIGNUPS_VERIFY=true
 SIGNUPS_DOMAINS_WHITELIST=aquilenet.fr
 ADMIN_TOKEN=<admin token>
 INVITATIONS_ALLOWED=false
 ROCKET_ADDRESS=127.0.0.1
 ```
 - web-vault
   - sources dir: /var/www/bitwarden/bw_web_builds/
   - build dir: /var/www/bitwarden/bw_web_builds/docker_builds/web-vault
-johan.le.baut
+### Reverse proxy Nginx
 Le site est configuré dans `/etc/nginx/sites-available/coffre.aquilenet.fr.conf`
-johan.le.baut
+Les certificats sont géré par certbot (cf `sudo certbot certificates`)
 johan.le.baut
 ### Config SMTP
 Il faut configurer une connexion SMTP pour que vaultwarden puisse envoyer des mails.
 johan.le.baut
-johan.le.baut
+Sur une VM vierge:
 - enlever exim4
 - installer postfix
 - enlever params d'authent pour envoyer sur localhost:25
 johan.le.baut
 Conf vaultwarden SMTP:
 ```
   "smtp_host": "127.0.0.1",
   "smtp_security": "off",
   "smtp_port": 25,
   "smtp_from": "vaultwarden@aquilenet.fr",
   "smtp_from_name": "Vaultwarden (Ne pas répondre)",
   "smtp_timeout": 15,
   "helo_name": "coffre.aquilenet.fr",
   "smtp_accept_invalid_certs": false,
   "smtp_accept_invalid_hostnames": false,
 ```

Projet

Général

Profil

Aquilenet » Services

Vaultwarden(bitwarden) » Historique » Version 18