Projet

Général

Profil

Vaultwarden(bitwarden) » Historique » Version 27

sacha, 23/11/2024 15:27

1 1 johan.le.baut
# Vaultwarden (bitwarden)
2 2 johan.le.baut
3 12 johan.le.baut
{{toc}}
4 11 johan.le.baut
5
6 27 sacha
Bitwarden est un gestionnaire de mot de passes réservé aux Jedi (les Padawan n'y ont pas accès)
7 2 johan.le.baut
8 5 johan.le.baut
Vaultwarden est la version Rust de Biwarden: https://github.com/dani-garcia/vaultwarden
9 2 johan.le.baut
10 20 mathias.bert-barbedienne
Il est disponible sur: harpocrates et le port 8080 (anciennement sur https://coffre.aquilenet.fr/)
11 2 johan.le.baut
12 22 johan.le.baut
Donc forcément il vous faut un accès ssh sur la machine harpocrates pour utiliser l'outil.
13
14 20 mathias.bert-barbedienne
Pour l'admin: http://localhost:8080/admin
15 2 johan.le.baut
16 1 johan.le.baut
Server: harpocrates
17 2 johan.le.baut
18 20 mathias.bert-barbedienne
## Configuration
19 2 johan.le.baut
20
21 1 johan.le.baut
22 2 johan.le.baut
### Accès utilisateurs
23 1 johan.le.baut
24 24 johan.le.baut
On autorise l'inscription à tous les utilisateurs ayant un mail en **@aquilenet.fr** (et qui ont l'accès ssh à la machine harpocrates)
25 1 johan.le.baut
26 20 mathias.bert-barbedienne
Pour valider son inscription un utilisateur doit confirmer via l'email reçu de vaultwarden.
27 1 johan.le.baut
Il est possible d'inviter des gens extérieurs via la page d'admin uniquement.
28 22 johan.le.baut
29 23 johan.le.baut
Une fois inscrit faire la demande à admin@aquilenet.fr pour se faire inviter dans l'orga Admin de l'outil (il y a encore de la validation par clic dans un email à faire).
30 1 johan.le.baut
31 25 mathias.bert-barbedienne
#### Accès via pc et navigateur
32 20 mathias.bert-barbedienne
Créer une config ssh dédiée pour l'accès à vaultwarden via tunnel :
33
`echo -e Host coffre.aquilenet.fr\\nPort 55555\\nUser bitwarden\\nIdentityFile ~/.ssh/id_ed25519_vaultwarden\\nLocalForward localhost:8080 localhost:8080\\nSessionType none >~/.ssh/coffre.conf`
34
35
Récupérer le couple de clef ssh non protégées de l'utilisateur non privilégié bitwarden (`/home/bitwarden/.ssh/{id_ed25519_vaultwarden,.pub}`).
36
Les copier dans le vôtre (ou modifier `~/.ssh/coffre.conf` avec vos login et clefs).
37
38
Cette configuration permet une connexion sans exécution d'un shell distant (SessionType none), d'autre part l'utilisateur bitwarden est configuré avec un "dummy shell" dans `/etc/passwd` qui ne permet pas de faire quoi que ce soit sur la machine (/home/bitwarden/Fake_Shell.sh).
39
40 1 johan.le.baut
lancer la connexion ssh (`ssh coffre`), puis pointer le navigateur sur `http://localhost:8080`.
41 25 mathias.bert-barbedienne
42
#### Accès via pc en cli
43
Récupérer le binaire du client cli sur https://vault.bitwarden.com/download/?app=cli&platform=linux
44
(Ou installer via `npm` avec `npm install -g @bitwarden/cli`)
45
Décompresser l'archive par exemple dans ~/.Bitwarden_cli
46
Rendre exécutable le binaire : `chmod +x ~/.Bitwarden_cli/bw`
47
Modifier le PATH dans ~/.bashrc
48
`PATH=$PATH:~/.Bitwarden_cli`
49
Ajouter éventuellement un alias dans ~/.bashrc
50
`alias bw='bw --pretty'`
51
52
Lancer la connexion ssh sur coffre puis configurer le serveur Waultwarden avec :
53
`bw config server http://localhost:8080`
54
55
Connecter le client cli avec :
56
`bw login`
57
58
Rentrer login et password.
59
Comme proposé renseigner la variable d'environnement `BW_SESSION` avec `export BW_SESSION=....`
60
61
Synchroniser les données avec :
62
`bw sync`
63
64
La récupération d'un mot de passe root se fait par exemple avec :
65
`bw get password iris`
66
67
Dans certains cas il y a plusieurs réponses possible (cas pour harpocrates par exemple) et la liste des id est donnée.
68
On peut alors avoir le détail via :
69
`bw get item <id>`
70
`bw get uri <id>`
71
`bw get username <id>`
72
`bw get password <id>`
73
74
La vérification de la connexion se fait via :
75
`bw status`
76
77
La mise à jour du binaire se fait via :
78
`bw update`
79
80
La déconnexion se fait avec :
81
`bw logout`
82 20 mathias.bert-barbedienne
83
#### Accès éventuel via ordiphone
84
Si on veux vraiment et si on en a le besoin réel et explicite, techniquement on peut.
85
Sur Android, utilisation de l'appli `ConnectBot` (https://play.google.com/store/apps/details?id=org.connectbot) pour l'accès via tunnel ssh et de l'appli bitwarden officielle.
86
87
Interdiction **_FORMELLE_**  d'utiliser son compte ssh habituel d'admin de l'infra pour cet usage !
88
**_OBLIGATION_** d'utiliser un compte dédié, non privilégié avec accès restreint.
89
90
Récupérer la clef publique non protégée (`/home/bitwarden/.ssh/id_ed25519_vaultwarden.pub`) ou en générer une nouvelle avec passphrase (simple à taper sur ordiphone) et dédiée à cet usage (`ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519_vaultwarden`) et aller l'ajouter sur harpocrates dans `/home/bitwarden/.ssh/authorized_keys`
91
92
Copier cette clef sur l'ordiphone, puis l'importer dans l'appli ConnectBot et la protéger par passphrase si pas déjà le cas.
93
Menu en haut à droite puis "Gérer les clefs publiques" appuis sur le dossier en haut à droite, naviguer sur le support de stockage et sélectionner la clef publique.
94
Si pas fait avant, appuis long sur la clef et "Changer le mot de passe" (choisissez en une simple à taper sur ordiphone).
95
96
De retour sur le menu général, créer un nouveau serveur en cliquant sur le "+" en bas à droite
97
renseigner `bitwarden@coffre.aquilenet.fr:55555`
98
donner un nom à ce nouvel objet
99
sélectionner la clef dans "Utiliser une clef pour l'authentification"
100
décocher "Démarrer une session en ligne de commande" (seul le tunnel nous intéresse ici).
101
cocher éventuellement "Rester connecter"
102
Enregistrer en haut à droite (icône disquette).
103
104
Appuis long sur le serveur nouvellement créé, puis "éditer les redirections de port"
105
Ajout par "+"
106
Nom:vaultwarden
107
type local,
108
Port source : 8080
109
Destionation: localhost:8080
110
Enregistrer (Créer la redirection de port).
111
112
Lancer la connexion dans ConnectBot
113
taper la passphrasse
114
réduire l'appli
115
lancer l'appli bitwarden
116
la faire pointer sur http://localhost:8080 dans le menu de configuration en haut à droite
117
et enfin s'identifier sur le service.
118
119 2 johan.le.baut
### Accès admin
120
121 20 mathias.bert-barbedienne
On accède à la page d'admin via un tunnel ssh et une redirection de port vers le 8080 et http://localhost:8080/admin
122 2 johan.le.baut
123 1 johan.le.baut
Un token est demandé, il est visible sur Harpocrates dans /var/www/bitwarden/docker-compose.yaml
124 2 johan.le.baut
125
On ajoute en sécurité supplémentaire une Basic Auth dans Nginx, le fichier de conf est: `/var/www/bitwarden/.htpasswd`
126
Il contient les admins de Harpocrates avec le même hash password du /etc/shadow
127
128
## Installation
129 1 johan.le.baut
130 6 johan.le.baut
131 20 mathias.bert-barbedienne
Sur le serveur Harpocrates, on installe le service vaultwarden (initialement avec un reverse proxy nginx, désactivé depuis).
132 2 johan.le.baut
133 6 johan.le.baut
### installation du service
134 1 johan.le.baut
135 26 johan.le.baut
On peut le lancer via docker, builder manuellement le service ou utiliser un package .deb non officiel.
136 1 johan.le.baut
137 26 johan.le.baut
En ce moment la méthode .deb est utilisée.
138 1 johan.le.baut
139 26 johan.le.baut
#### Package .deb non officiel.
140
141
On peut trouver les packages:
142
- server: https://github.com/dionysius/vaultwarden-deb
143
- front web: https://github.com/dionysius/vaultwarden-web-vault-deb
144
145
il faut télécharger et installer les deux .deb via les releases.
146
```bash
147
VERSION=1.30.5
148
WEB_VERSION=2024.3.0
149
wget "https://github.com/dionysius/vaultwarden-deb/releases/download/debian%2F${VERSION}-0/vaultwarden_${VERSION}-0.bookworm_amd64.deb"
150
wget "https://github.com/dionysius/vaultwarden-web-vault-deb/releases/download/debian%2F${WEB_VERSION}-0/vaultwarden-web-vault_${WEB_VERSION}-0.bookworm_all.deb"
151
152
dpkg -i vaultwarden_${VERSION}-0.bookworm_amd64.deb vaultwarden-web-vault_${WEB_VERSION}-0.bookworm_all.deb
153
```
154
155
**Première installation**
156
157
1. Modifier le fichier `/etc/default/vaultwarden` pour y ajouter la config, par exemple on décommente:
158
159
```
160
WEB_VAULT_FOLDER=/usr/share/vaultwarden-web-vault/
161
WEBSOCKET_ENABLED=true
162
DOMAIN=http://localhost:8080
163
SENDS_ALLOWED=true
164
SIGNUPS_ALLOWED=true
165
SIGNUPS_VERIFY=true
166
SIGNUPS_DOMAINS_WHITELIST=aquilenet.fr
167
INVITATIONS_ALLOWED=true
168
INVITATION_ORG_NAME=Aquilenet
169
ADMIN_TOKEN=<THE ADMIN KEY>
170
DISABLE_ADMIN_TOKEN=false
171
SMTP_HOST=127.0.0.1
172
SMTP_FROM=vaultwarden@coffre.aquilenet.fr
173
SMTP_FROM_NAME="Vaultwarden (Ne pas répondre)"
174
SMTP_SECURITY=off
175
SMTP_PORT=25
176
HELO_NAME=coffre.aquilenet.fr
177
ROCKET_ADDRESS=127.0.0.1
178
ROCKET_PORT=8080
179
```
180
2. `systemctl enable vaultwarden && systemctl start vaultwarden`
181
182
**Mise à jour** (pas encore testé au 06/05/2024)
183
184
Télécharger les .deb et les installer, puis redémarrer le service vaultwarden `systemctl restrart vaultwarden`
185
186
187 21 mathias.bert-barbedienne
#### via docker et docker compose (ancienne méthode).
188 6 johan.le.baut
189
1. Créer le dossier pour la data du service:
190
```
191
mkdir -p /srv/vw-data
192
chown -R bitwarden:bitwarden /srv/vw-data
193
```
194
195 2 johan.le.baut
2. On décrit le container docker à lancer via docker compose
196 1 johan.le.baut
197 2 johan.le.baut
198
`cat /var/www/bitwarden/docker-compose.yaml`
199
```yaml
200
version: '3'
201 6 johan.le.baut
202 2 johan.le.baut
services:
203
  vaultwarden:
204
    image: vaultwarden/server:1.25.2
205 4 johan.le.baut
    container_name: vaultwarden
206
    restart: always
207 2 johan.le.baut
    user: 1000:1000 # bitwarden user
208 4 johan.le.baut
    ports:
209 2 johan.le.baut
      - "127.0.0.1:8080:80"   # port app
210
      - "127.0.0.1:3012:3012" # port web socket
211
    environment:
212 4 johan.le.baut
      ADMIN_TOKEN: <Admin token> # token to connect to admin
213 2 johan.le.baut
      WEBSOCKET_ENABLED: "true"  # Enable WebSocket notifications.
214 1 johan.le.baut
      SIGNUPS_DOMAINS_WHITELIST: aquilenet.fr # on autorise seulement le @aquilenet.fr
215 2 johan.le.baut
      SIGNUPS_VERIFY: true
216 1 johan.le.baut
      INVITATIONS_ALLOWED: false  # Les utilisateurs ne peuvent pas inviter des non inscrits (seulement admin)
217
    volumes:
218
      - /srv/vw-data:/data
219 6 johan.le.baut
220 1 johan.le.baut
```
221 6 johan.le.baut
Il est possible de configurer d'autre choses via la page admin
222 1 johan.le.baut
223 6 johan.le.baut
3. Une fois docker installé, pour démarrer en background:
224
`cd /var/www/bitwarden/ && docker compose up -d`
225 20 mathias.bert-barbedienne
226 6 johan.le.baut
(4. Mise à jour avec docker)
227
228
Ouvrir `/var/www/bitwarden/docker-compose.yaml`
229
230
changer `image: vaultwarden/server:<nouvelle version>`
231
232 20 mathias.bert-barbedienne
233 6 johan.le.baut
Restart (avec docker):
234
```
235
cd /var/www/bitwarden/
236 10 johan.le.baut
docker compose down # Service sera étteint
237 1 johan.le.baut
docker compose up -d --force-recreate
238 6 johan.le.baut
```
239
240 26 johan.le.baut
#### Build et install (ancienne méthode).
241 6 johan.le.baut
242 2 johan.le.baut
Il faut compiler le service et le lancer dans un systemd:
243 13 johan.le.baut
244
Suivre: https://gist.github.com/heinoldenhuis/f8164f73e5bff048e76fb4fff2e824e1
245 7 johan.le.baut
246
Pour le build du 'web-vault', on peut utiliser dans bw_web_builds la cmd `make docker-extract`, il créera le dossier `docker_builds/web-vault` (pas besoin d'installer NodeJs de cette manière).
247
248
Install actuelle:
249
- systemd file: `/etc/systemd/system/vaultwarden.service`
250
- vaultwarden:
251
  - sources dir: /var/www/bitwarden/vaultwarden
252 8 johan.le.baut
  - binaire: /var/www/bitwarden/vaultwarden/target/release/vaultwarden
253 9 johan.le.baut
  - data dir: /var/www/bitwarden/vaultwarden/target/release/data
254 8 johan.le.baut
  - env file (config): /var/www/bitwarden/vaultwarden/target/release/.env
255 7 johan.le.baut
    - config: 
256
257
```
258
WEB_VAULT_FOLDER=/var/www/bitwarden/bw_web_builds/docker_builds/web-vault
259
WEBSOCKET_ENABLED=true
260
SIGNUPS_VERIFY=true
261 1 johan.le.baut
SIGNUPS_DOMAINS_WHITELIST=aquilenet.fr
262
ADMIN_TOKEN=<admin token>
263 7 johan.le.baut
INVITATIONS_ALLOWED=false
264
ROCKET_ADDRESS=127.0.0.1
265
```
266
- web-vault
267
  - sources dir: /var/www/bitwarden/bw_web_builds/
268
  - build dir: /var/www/bitwarden/bw_web_builds/docker_builds/web-vault
269 2 johan.le.baut
270
### Reverse proxy Nginx
271
272 20 mathias.bert-barbedienne
Le site était configuré dans `/etc/nginx/sites-available/coffre.aquilenet.fr.conf`
273 2 johan.le.baut
274 20 mathias.bert-barbedienne
Les certificats étaient gérés par certbot (cf `sudo certbot certificates`)
275 10 johan.le.baut
276
### Config SMTP
277
278
Il faut configurer une connexion SMTP pour que vaultwarden puisse envoyer des mails.
279 16 johan.le.baut
280 17 johan.le.baut
Sur une VM vierge: 
281
- enlever exim4
282
- installer postfix
283
- enlever params d'authent pour envoyer sur localhost:25
284 18 johan.le.baut
285 20 mathias.bert-barbedienne
Conf vaultwarden SMTP (dans l'interface admin de vaultwarden):
286 18 johan.le.baut
```
287
  "smtp_host": "127.0.0.1",
288
  "smtp_security": "off",
289
  "smtp_port": 25,
290
  "smtp_from": "vaultwarden@aquilenet.fr",
291
  "smtp_from_name": "Vaultwarden (Ne pas répondre)",
292
  "smtp_timeout": 15,
293
  "helo_name": "coffre.aquilenet.fr",
294
  "smtp_accept_invalid_certs": false,
295
  "smtp_accept_invalid_hostnames": false,
296
```