Vaultwarden(bitwarden) » Historique » Version 24
johan.le.baut, 19/01/2023 22:30
1 | 1 | johan.le.baut | # Vaultwarden (bitwarden) |
---|---|---|---|
2 | 2 | johan.le.baut | |
3 | 12 | johan.le.baut | {{toc}} |
4 | 11 | johan.le.baut | |
5 | |||
6 | 5 | johan.le.baut | Bitwarden est un gestionnaire de mot de passes. |
7 | 2 | johan.le.baut | |
8 | 5 | johan.le.baut | Vaultwarden est la version Rust de Biwarden: https://github.com/dani-garcia/vaultwarden |
9 | 2 | johan.le.baut | |
10 | 20 | mathias.bert-barbedienne | Il est disponible sur: harpocrates et le port 8080 (anciennement sur https://coffre.aquilenet.fr/) |
11 | 2 | johan.le.baut | |
12 | 22 | johan.le.baut | Donc forcément il vous faut un accès ssh sur la machine harpocrates pour utiliser l'outil. |
13 | |||
14 | 20 | mathias.bert-barbedienne | Pour l'admin: http://localhost:8080/admin |
15 | 2 | johan.le.baut | |
16 | 1 | johan.le.baut | Server: harpocrates |
17 | 2 | johan.le.baut | |
18 | 20 | mathias.bert-barbedienne | ## Configuration |
19 | 2 | johan.le.baut | |
20 | |||
21 | 1 | johan.le.baut | |
22 | 2 | johan.le.baut | ### Accès utilisateurs |
23 | 1 | johan.le.baut | |
24 | 24 | johan.le.baut | On autorise l'inscription à tous les utilisateurs ayant un mail en **@aquilenet.fr** (et qui ont l'accès ssh à la machine harpocrates) |
25 | 1 | johan.le.baut | |
26 | 20 | mathias.bert-barbedienne | Pour valider son inscription un utilisateur doit confirmer via l'email reçu de vaultwarden. |
27 | 1 | johan.le.baut | Il est possible d'inviter des gens extérieurs via la page d'admin uniquement. |
28 | 22 | johan.le.baut | |
29 | 23 | johan.le.baut | Une fois inscrit faire la demande à admin@aquilenet.fr pour se faire inviter dans l'orga Admin de l'outil (il y a encore de la validation par clic dans un email à faire). |
30 | 1 | johan.le.baut | |
31 | 20 | mathias.bert-barbedienne | #### Accès via pc |
32 | Créer une config ssh dédiée pour l'accès à vaultwarden via tunnel : |
||
33 | `echo -e Host coffre.aquilenet.fr\\nPort 55555\\nUser bitwarden\\nIdentityFile ~/.ssh/id_ed25519_vaultwarden\\nLocalForward localhost:8080 localhost:8080\\nSessionType none >~/.ssh/coffre.conf` |
||
34 | |||
35 | Récupérer le couple de clef ssh non protégées de l'utilisateur non privilégié bitwarden (`/home/bitwarden/.ssh/{id_ed25519_vaultwarden,.pub}`). |
||
36 | Les copier dans le vôtre (ou modifier `~/.ssh/coffre.conf` avec vos login et clefs). |
||
37 | |||
38 | Cette configuration permet une connexion sans exécution d'un shell distant (SessionType none), d'autre part l'utilisateur bitwarden est configuré avec un "dummy shell" dans `/etc/passwd` qui ne permet pas de faire quoi que ce soit sur la machine (/home/bitwarden/Fake_Shell.sh). |
||
39 | |||
40 | lancer la connexion ssh (`ssh coffre`), puis pointer le navigateur sur `http://localhost:8080`. |
||
41 | |||
42 | #### Accès éventuel via ordiphone |
||
43 | Si on veux vraiment et si on en a le besoin réel et explicite, techniquement on peut. |
||
44 | Sur Android, utilisation de l'appli `ConnectBot` (https://play.google.com/store/apps/details?id=org.connectbot) pour l'accès via tunnel ssh et de l'appli bitwarden officielle. |
||
45 | |||
46 | Interdiction **_FORMELLE_** d'utiliser son compte ssh habituel d'admin de l'infra pour cet usage ! |
||
47 | **_OBLIGATION_** d'utiliser un compte dédié, non privilégié avec accès restreint. |
||
48 | |||
49 | Récupérer la clef publique non protégée (`/home/bitwarden/.ssh/id_ed25519_vaultwarden.pub`) ou en générer une nouvelle avec passphrase (simple à taper sur ordiphone) et dédiée à cet usage (`ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519_vaultwarden`) et aller l'ajouter sur harpocrates dans `/home/bitwarden/.ssh/authorized_keys` |
||
50 | |||
51 | Copier cette clef sur l'ordiphone, puis l'importer dans l'appli ConnectBot et la protéger par passphrase si pas déjà le cas. |
||
52 | Menu en haut à droite puis "Gérer les clefs publiques" appuis sur le dossier en haut à droite, naviguer sur le support de stockage et sélectionner la clef publique. |
||
53 | Si pas fait avant, appuis long sur la clef et "Changer le mot de passe" (choisissez en une simple à taper sur ordiphone). |
||
54 | |||
55 | De retour sur le menu général, créer un nouveau serveur en cliquant sur le "+" en bas à droite |
||
56 | renseigner `bitwarden@coffre.aquilenet.fr:55555` |
||
57 | donner un nom à ce nouvel objet |
||
58 | sélectionner la clef dans "Utiliser une clef pour l'authentification" |
||
59 | décocher "Démarrer une session en ligne de commande" (seul le tunnel nous intéresse ici). |
||
60 | cocher éventuellement "Rester connecter" |
||
61 | Enregistrer en haut à droite (icône disquette). |
||
62 | |||
63 | Appuis long sur le serveur nouvellement créé, puis "éditer les redirections de port" |
||
64 | Ajout par "+" |
||
65 | Nom:vaultwarden |
||
66 | type local, |
||
67 | Port source : 8080 |
||
68 | Destionation: localhost:8080 |
||
69 | Enregistrer (Créer la redirection de port). |
||
70 | |||
71 | Lancer la connexion dans ConnectBot |
||
72 | taper la passphrasse |
||
73 | réduire l'appli |
||
74 | lancer l'appli bitwarden |
||
75 | la faire pointer sur http://localhost:8080 dans le menu de configuration en haut à droite |
||
76 | et enfin s'identifier sur le service. |
||
77 | |||
78 | 2 | johan.le.baut | ### Accès admin |
79 | |||
80 | 20 | mathias.bert-barbedienne | On accède à la page d'admin via un tunnel ssh et une redirection de port vers le 8080 et http://localhost:8080/admin |
81 | 2 | johan.le.baut | |
82 | 1 | johan.le.baut | Un token est demandé, il est visible sur Harpocrates dans /var/www/bitwarden/docker-compose.yaml |
83 | 2 | johan.le.baut | |
84 | On ajoute en sécurité supplémentaire une Basic Auth dans Nginx, le fichier de conf est: `/var/www/bitwarden/.htpasswd` |
||
85 | Il contient les admins de Harpocrates avec le même hash password du /etc/shadow |
||
86 | |||
87 | ## Installation |
||
88 | 1 | johan.le.baut | |
89 | 6 | johan.le.baut | |
90 | 20 | mathias.bert-barbedienne | Sur le serveur Harpocrates, on installe le service vaultwarden (initialement avec un reverse proxy nginx, désactivé depuis). |
91 | 2 | johan.le.baut | |
92 | 6 | johan.le.baut | ### installation du service |
93 | 1 | johan.le.baut | |
94 | 6 | johan.le.baut | On peut le lancer via docker ou builder manuellement le service. |
95 | 1 | johan.le.baut | |
96 | 14 | johan.le.baut | En ce moment la méthode manuelle est utilisée. |
97 | 6 | johan.le.baut | |
98 | 21 | mathias.bert-barbedienne | #### via docker et docker compose (ancienne méthode). |
99 | 6 | johan.le.baut | |
100 | 1. Créer le dossier pour la data du service: |
||
101 | ``` |
||
102 | mkdir -p /srv/vw-data |
||
103 | chown -R bitwarden:bitwarden /srv/vw-data |
||
104 | ``` |
||
105 | |||
106 | 2. On décrit le container docker à lancer via docker compose |
||
107 | 2 | johan.le.baut | |
108 | 1 | johan.le.baut | |
109 | 2 | johan.le.baut | `cat /var/www/bitwarden/docker-compose.yaml` |
110 | ```yaml |
||
111 | version: '3' |
||
112 | |||
113 | 6 | johan.le.baut | services: |
114 | 2 | johan.le.baut | vaultwarden: |
115 | image: vaultwarden/server:1.25.2 |
||
116 | container_name: vaultwarden |
||
117 | 4 | johan.le.baut | restart: always |
118 | user: 1000:1000 # bitwarden user |
||
119 | 2 | johan.le.baut | ports: |
120 | 4 | johan.le.baut | - "127.0.0.1:8080:80" # port app |
121 | 2 | johan.le.baut | - "127.0.0.1:3012:3012" # port web socket |
122 | environment: |
||
123 | ADMIN_TOKEN: <Admin token> # token to connect to admin |
||
124 | 4 | johan.le.baut | WEBSOCKET_ENABLED: "true" # Enable WebSocket notifications. |
125 | 2 | johan.le.baut | SIGNUPS_DOMAINS_WHITELIST: aquilenet.fr # on autorise seulement le @aquilenet.fr |
126 | 1 | johan.le.baut | SIGNUPS_VERIFY: true |
127 | 2 | johan.le.baut | INVITATIONS_ALLOWED: false # Les utilisateurs ne peuvent pas inviter des non inscrits (seulement admin) |
128 | 1 | johan.le.baut | volumes: |
129 | - /srv/vw-data:/data |
||
130 | |||
131 | 6 | johan.le.baut | ``` |
132 | 1 | johan.le.baut | Il est possible de configurer d'autre choses via la page admin |
133 | 6 | johan.le.baut | |
134 | 1 | johan.le.baut | 3. Une fois docker installé, pour démarrer en background: |
135 | 6 | johan.le.baut | `cd /var/www/bitwarden/ && docker compose up -d` |
136 | |||
137 | 20 | mathias.bert-barbedienne | (4. Mise à jour avec docker) |
138 | 6 | johan.le.baut | |
139 | Ouvrir `/var/www/bitwarden/docker-compose.yaml` |
||
140 | |||
141 | changer `image: vaultwarden/server:<nouvelle version>` |
||
142 | |||
143 | |||
144 | 20 | mathias.bert-barbedienne | Restart (avec docker): |
145 | 6 | johan.le.baut | ``` |
146 | cd /var/www/bitwarden/ |
||
147 | docker compose down # Service sera étteint |
||
148 | 10 | johan.le.baut | docker compose up -d --force-recreate |
149 | 6 | johan.le.baut | ``` |
150 | |||
151 | #### Sans docker (actuel): |
||
152 | |||
153 | 2 | johan.le.baut | Il faut compiler le service et le lancer dans un systemd: |
154 | 13 | johan.le.baut | |
155 | Suivre: https://gist.github.com/heinoldenhuis/f8164f73e5bff048e76fb4fff2e824e1 |
||
156 | 7 | johan.le.baut | |
157 | Pour le build du 'web-vault', on peut utiliser dans bw_web_builds la cmd `make docker-extract`, il créera le dossier `docker_builds/web-vault` (pas besoin d'installer NodeJs de cette manière). |
||
158 | |||
159 | Install actuelle: |
||
160 | - systemd file: `/etc/systemd/system/vaultwarden.service` |
||
161 | - vaultwarden: |
||
162 | - sources dir: /var/www/bitwarden/vaultwarden |
||
163 | 8 | johan.le.baut | - binaire: /var/www/bitwarden/vaultwarden/target/release/vaultwarden |
164 | 9 | johan.le.baut | - data dir: /var/www/bitwarden/vaultwarden/target/release/data |
165 | 8 | johan.le.baut | - env file (config): /var/www/bitwarden/vaultwarden/target/release/.env |
166 | 7 | johan.le.baut | - config: |
167 | |||
168 | ``` |
||
169 | WEB_VAULT_FOLDER=/var/www/bitwarden/bw_web_builds/docker_builds/web-vault |
||
170 | WEBSOCKET_ENABLED=true |
||
171 | SIGNUPS_VERIFY=true |
||
172 | 1 | johan.le.baut | SIGNUPS_DOMAINS_WHITELIST=aquilenet.fr |
173 | ADMIN_TOKEN=<admin token> |
||
174 | 7 | johan.le.baut | INVITATIONS_ALLOWED=false |
175 | ROCKET_ADDRESS=127.0.0.1 |
||
176 | ``` |
||
177 | - web-vault |
||
178 | - sources dir: /var/www/bitwarden/bw_web_builds/ |
||
179 | - build dir: /var/www/bitwarden/bw_web_builds/docker_builds/web-vault |
||
180 | 2 | johan.le.baut | |
181 | ### Reverse proxy Nginx |
||
182 | |||
183 | 20 | mathias.bert-barbedienne | Le site était configuré dans `/etc/nginx/sites-available/coffre.aquilenet.fr.conf` |
184 | 2 | johan.le.baut | |
185 | 20 | mathias.bert-barbedienne | Les certificats étaient gérés par certbot (cf `sudo certbot certificates`) |
186 | 10 | johan.le.baut | |
187 | ### Config SMTP |
||
188 | |||
189 | Il faut configurer une connexion SMTP pour que vaultwarden puisse envoyer des mails. |
||
190 | 16 | johan.le.baut | |
191 | 17 | johan.le.baut | Sur une VM vierge: |
192 | - enlever exim4 |
||
193 | - installer postfix |
||
194 | - enlever params d'authent pour envoyer sur localhost:25 |
||
195 | 18 | johan.le.baut | |
196 | 20 | mathias.bert-barbedienne | Conf vaultwarden SMTP (dans l'interface admin de vaultwarden): |
197 | 18 | johan.le.baut | ``` |
198 | "smtp_host": "127.0.0.1", |
||
199 | "smtp_security": "off", |
||
200 | "smtp_port": 25, |
||
201 | "smtp_from": "vaultwarden@aquilenet.fr", |
||
202 | "smtp_from_name": "Vaultwarden (Ne pas répondre)", |
||
203 | "smtp_timeout": 15, |
||
204 | "helo_name": "coffre.aquilenet.fr", |
||
205 | "smtp_accept_invalid_certs": false, |
||
206 | "smtp_accept_invalid_hostnames": false, |
||
207 | ``` |