Projet

Général

Profil

Vaultwarden(bitwarden) » Historique » Version 23

johan.le.baut, 19/01/2023 22:29

1 1 johan.le.baut
# Vaultwarden (bitwarden)
2 2 johan.le.baut
3 12 johan.le.baut
{{toc}}
4 11 johan.le.baut
5
6 5 johan.le.baut
Bitwarden est un gestionnaire de mot de passes.
7 2 johan.le.baut
8 5 johan.le.baut
Vaultwarden est la version Rust de Biwarden: https://github.com/dani-garcia/vaultwarden
9 2 johan.le.baut
10 20 mathias.bert-barbedienne
Il est disponible sur: harpocrates et le port 8080 (anciennement sur https://coffre.aquilenet.fr/)
11 2 johan.le.baut
12 22 johan.le.baut
Donc forcément il vous faut un accès ssh sur la machine harpocrates pour utiliser l'outil.
13
14 20 mathias.bert-barbedienne
Pour l'admin: http://localhost:8080/admin
15 2 johan.le.baut
16 1 johan.le.baut
Server: harpocrates
17 2 johan.le.baut
18 20 mathias.bert-barbedienne
## Configuration
19 2 johan.le.baut
20
21 1 johan.le.baut
22 2 johan.le.baut
### Accès utilisateurs
23 1 johan.le.baut
24
On autorise l'inscription à tous les utilisateurs ayant un mail en **@aquilenet.fr**
25
26 20 mathias.bert-barbedienne
Pour valider son inscription un utilisateur doit confirmer via l'email reçu de vaultwarden.
27 1 johan.le.baut
Il est possible d'inviter des gens extérieurs via la page d'admin uniquement.
28 22 johan.le.baut
29 23 johan.le.baut
Une fois inscrit faire la demande à admin@aquilenet.fr pour se faire inviter dans l'orga Admin de l'outil (il y a encore de la validation par clic dans un email à faire).
30 1 johan.le.baut
31 20 mathias.bert-barbedienne
#### Accès via pc
32
Créer une config ssh dédiée pour l'accès à vaultwarden via tunnel :
33
`echo -e Host coffre.aquilenet.fr\\nPort 55555\\nUser bitwarden\\nIdentityFile ~/.ssh/id_ed25519_vaultwarden\\nLocalForward localhost:8080 localhost:8080\\nSessionType none >~/.ssh/coffre.conf`
34
35
Récupérer le couple de clef ssh non protégées de l'utilisateur non privilégié bitwarden (`/home/bitwarden/.ssh/{id_ed25519_vaultwarden,.pub}`).
36
Les copier dans le vôtre (ou modifier `~/.ssh/coffre.conf` avec vos login et clefs).
37
38
Cette configuration permet une connexion sans exécution d'un shell distant (SessionType none), d'autre part l'utilisateur bitwarden est configuré avec un "dummy shell" dans `/etc/passwd` qui ne permet pas de faire quoi que ce soit sur la machine (/home/bitwarden/Fake_Shell.sh).
39
40
lancer la connexion ssh (`ssh coffre`), puis pointer le navigateur sur `http://localhost:8080`.
41
42
#### Accès éventuel via ordiphone
43
Si on veux vraiment et si on en a le besoin réel et explicite, techniquement on peut.
44
Sur Android, utilisation de l'appli `ConnectBot` (https://play.google.com/store/apps/details?id=org.connectbot) pour l'accès via tunnel ssh et de l'appli bitwarden officielle.
45
46
Interdiction **_FORMELLE_**  d'utiliser son compte ssh habituel d'admin de l'infra pour cet usage !
47
**_OBLIGATION_** d'utiliser un compte dédié, non privilégié avec accès restreint.
48
49
Récupérer la clef publique non protégée (`/home/bitwarden/.ssh/id_ed25519_vaultwarden.pub`) ou en générer une nouvelle avec passphrase (simple à taper sur ordiphone) et dédiée à cet usage (`ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519_vaultwarden`) et aller l'ajouter sur harpocrates dans `/home/bitwarden/.ssh/authorized_keys`
50
51
Copier cette clef sur l'ordiphone, puis l'importer dans l'appli ConnectBot et la protéger par passphrase si pas déjà le cas.
52
Menu en haut à droite puis "Gérer les clefs publiques" appuis sur le dossier en haut à droite, naviguer sur le support de stockage et sélectionner la clef publique.
53
Si pas fait avant, appuis long sur la clef et "Changer le mot de passe" (choisissez en une simple à taper sur ordiphone).
54
55
De retour sur le menu général, créer un nouveau serveur en cliquant sur le "+" en bas à droite
56
renseigner `bitwarden@coffre.aquilenet.fr:55555`
57
donner un nom à ce nouvel objet
58
sélectionner la clef dans "Utiliser une clef pour l'authentification"
59
décocher "Démarrer une session en ligne de commande" (seul le tunnel nous intéresse ici).
60
cocher éventuellement "Rester connecter"
61
Enregistrer en haut à droite (icône disquette).
62
63
Appuis long sur le serveur nouvellement créé, puis "éditer les redirections de port"
64
Ajout par "+"
65
Nom:vaultwarden
66
type local,
67
Port source : 8080
68
Destionation: localhost:8080
69
Enregistrer (Créer la redirection de port).
70
71
Lancer la connexion dans ConnectBot
72
taper la passphrasse
73
réduire l'appli
74
lancer l'appli bitwarden
75
la faire pointer sur http://localhost:8080 dans le menu de configuration en haut à droite
76
et enfin s'identifier sur le service.
77
78 2 johan.le.baut
### Accès admin
79
80 20 mathias.bert-barbedienne
On accède à la page d'admin via un tunnel ssh et une redirection de port vers le 8080 et http://localhost:8080/admin
81 2 johan.le.baut
82 1 johan.le.baut
Un token est demandé, il est visible sur Harpocrates dans /var/www/bitwarden/docker-compose.yaml
83 2 johan.le.baut
84
On ajoute en sécurité supplémentaire une Basic Auth dans Nginx, le fichier de conf est: `/var/www/bitwarden/.htpasswd`
85
Il contient les admins de Harpocrates avec le même hash password du /etc/shadow
86
87
## Installation
88 1 johan.le.baut
89 6 johan.le.baut
90 20 mathias.bert-barbedienne
Sur le serveur Harpocrates, on installe le service vaultwarden (initialement avec un reverse proxy nginx, désactivé depuis).
91 2 johan.le.baut
92 6 johan.le.baut
### installation du service
93 1 johan.le.baut
94 6 johan.le.baut
On peut le lancer via docker ou builder manuellement le service.
95 1 johan.le.baut
96 14 johan.le.baut
En ce moment la méthode manuelle est utilisée.
97 6 johan.le.baut
98 21 mathias.bert-barbedienne
#### via docker et docker compose (ancienne méthode).
99 6 johan.le.baut
100
1. Créer le dossier pour la data du service:
101
```
102
mkdir -p /srv/vw-data
103
chown -R bitwarden:bitwarden /srv/vw-data
104
```
105
106
2. On décrit le container docker à lancer via docker compose
107 2 johan.le.baut
108 1 johan.le.baut
109 2 johan.le.baut
`cat /var/www/bitwarden/docker-compose.yaml`
110
```yaml
111
version: '3'
112
113 6 johan.le.baut
services:
114 2 johan.le.baut
  vaultwarden:
115
    image: vaultwarden/server:1.25.2
116
    container_name: vaultwarden
117 4 johan.le.baut
    restart: always
118
    user: 1000:1000 # bitwarden user
119 2 johan.le.baut
    ports:
120 4 johan.le.baut
      - "127.0.0.1:8080:80"   # port app
121 2 johan.le.baut
      - "127.0.0.1:3012:3012" # port web socket
122
    environment:
123
      ADMIN_TOKEN: <Admin token> # token to connect to admin
124 4 johan.le.baut
      WEBSOCKET_ENABLED: "true"  # Enable WebSocket notifications.
125 2 johan.le.baut
      SIGNUPS_DOMAINS_WHITELIST: aquilenet.fr # on autorise seulement le @aquilenet.fr
126 1 johan.le.baut
      SIGNUPS_VERIFY: true
127 2 johan.le.baut
      INVITATIONS_ALLOWED: false  # Les utilisateurs ne peuvent pas inviter des non inscrits (seulement admin)
128 1 johan.le.baut
    volumes:
129
      - /srv/vw-data:/data
130
131 6 johan.le.baut
```
132 1 johan.le.baut
Il est possible de configurer d'autre choses via la page admin
133 6 johan.le.baut
134 1 johan.le.baut
3. Une fois docker installé, pour démarrer en background:
135 6 johan.le.baut
`cd /var/www/bitwarden/ && docker compose up -d`
136
137 20 mathias.bert-barbedienne
(4. Mise à jour avec docker)
138 6 johan.le.baut
139
Ouvrir `/var/www/bitwarden/docker-compose.yaml`
140
141
changer `image: vaultwarden/server:<nouvelle version>`
142
143
144 20 mathias.bert-barbedienne
Restart (avec docker):
145 6 johan.le.baut
```
146
cd /var/www/bitwarden/
147
docker compose down # Service sera étteint
148 10 johan.le.baut
docker compose up -d --force-recreate
149 6 johan.le.baut
```
150
151
#### Sans docker (actuel):
152
153 2 johan.le.baut
Il faut compiler le service et le lancer dans un systemd:
154 13 johan.le.baut
155
Suivre: https://gist.github.com/heinoldenhuis/f8164f73e5bff048e76fb4fff2e824e1
156 7 johan.le.baut
157
Pour le build du 'web-vault', on peut utiliser dans bw_web_builds la cmd `make docker-extract`, il créera le dossier `docker_builds/web-vault` (pas besoin d'installer NodeJs de cette manière).
158
159
Install actuelle:
160
- systemd file: `/etc/systemd/system/vaultwarden.service`
161
- vaultwarden:
162
  - sources dir: /var/www/bitwarden/vaultwarden
163 8 johan.le.baut
  - binaire: /var/www/bitwarden/vaultwarden/target/release/vaultwarden
164 9 johan.le.baut
  - data dir: /var/www/bitwarden/vaultwarden/target/release/data
165 8 johan.le.baut
  - env file (config): /var/www/bitwarden/vaultwarden/target/release/.env
166 7 johan.le.baut
    - config: 
167
168
```
169
WEB_VAULT_FOLDER=/var/www/bitwarden/bw_web_builds/docker_builds/web-vault
170
WEBSOCKET_ENABLED=true
171
SIGNUPS_VERIFY=true
172 1 johan.le.baut
SIGNUPS_DOMAINS_WHITELIST=aquilenet.fr
173
ADMIN_TOKEN=<admin token>
174 7 johan.le.baut
INVITATIONS_ALLOWED=false
175
ROCKET_ADDRESS=127.0.0.1
176
```
177
- web-vault
178
  - sources dir: /var/www/bitwarden/bw_web_builds/
179
  - build dir: /var/www/bitwarden/bw_web_builds/docker_builds/web-vault
180 2 johan.le.baut
181
### Reverse proxy Nginx
182
183 20 mathias.bert-barbedienne
Le site était configuré dans `/etc/nginx/sites-available/coffre.aquilenet.fr.conf`
184 2 johan.le.baut
185 20 mathias.bert-barbedienne
Les certificats étaient gérés par certbot (cf `sudo certbot certificates`)
186 10 johan.le.baut
187
### Config SMTP
188
189
Il faut configurer une connexion SMTP pour que vaultwarden puisse envoyer des mails.
190 16 johan.le.baut
191 17 johan.le.baut
Sur une VM vierge: 
192
- enlever exim4
193
- installer postfix
194
- enlever params d'authent pour envoyer sur localhost:25
195 18 johan.le.baut
196 20 mathias.bert-barbedienne
Conf vaultwarden SMTP (dans l'interface admin de vaultwarden):
197 18 johan.le.baut
```
198
  "smtp_host": "127.0.0.1",
199
  "smtp_security": "off",
200
  "smtp_port": 25,
201
  "smtp_from": "vaultwarden@aquilenet.fr",
202
  "smtp_from_name": "Vaultwarden (Ne pas répondre)",
203
  "smtp_timeout": 15,
204
  "helo_name": "coffre.aquilenet.fr",
205
  "smtp_accept_invalid_certs": false,
206
  "smtp_accept_invalid_hostnames": false,
207
```