Vaultwarden(bitwarden) » Historique » Version 27
sacha, 23/11/2024 15:27
1 | 1 | johan.le.baut | # Vaultwarden (bitwarden) |
---|---|---|---|
2 | 2 | johan.le.baut | |
3 | 12 | johan.le.baut | {{toc}} |
4 | 11 | johan.le.baut | |
5 | |||
6 | 27 | sacha | Bitwarden est un gestionnaire de mot de passes réservé aux Jedi (les Padawan n'y ont pas accès) |
7 | 2 | johan.le.baut | |
8 | 5 | johan.le.baut | Vaultwarden est la version Rust de Biwarden: https://github.com/dani-garcia/vaultwarden |
9 | 2 | johan.le.baut | |
10 | 20 | mathias.bert-barbedienne | Il est disponible sur: harpocrates et le port 8080 (anciennement sur https://coffre.aquilenet.fr/) |
11 | 2 | johan.le.baut | |
12 | 22 | johan.le.baut | Donc forcément il vous faut un accès ssh sur la machine harpocrates pour utiliser l'outil. |
13 | |||
14 | 20 | mathias.bert-barbedienne | Pour l'admin: http://localhost:8080/admin |
15 | 2 | johan.le.baut | |
16 | 1 | johan.le.baut | Server: harpocrates |
17 | 2 | johan.le.baut | |
18 | 20 | mathias.bert-barbedienne | ## Configuration |
19 | 2 | johan.le.baut | |
20 | |||
21 | 1 | johan.le.baut | |
22 | 2 | johan.le.baut | ### Accès utilisateurs |
23 | 1 | johan.le.baut | |
24 | 24 | johan.le.baut | On autorise l'inscription à tous les utilisateurs ayant un mail en **@aquilenet.fr** (et qui ont l'accès ssh à la machine harpocrates) |
25 | 1 | johan.le.baut | |
26 | 20 | mathias.bert-barbedienne | Pour valider son inscription un utilisateur doit confirmer via l'email reçu de vaultwarden. |
27 | 1 | johan.le.baut | Il est possible d'inviter des gens extérieurs via la page d'admin uniquement. |
28 | 22 | johan.le.baut | |
29 | 23 | johan.le.baut | Une fois inscrit faire la demande à admin@aquilenet.fr pour se faire inviter dans l'orga Admin de l'outil (il y a encore de la validation par clic dans un email à faire). |
30 | 1 | johan.le.baut | |
31 | 25 | mathias.bert-barbedienne | #### Accès via pc et navigateur |
32 | 20 | mathias.bert-barbedienne | Créer une config ssh dédiée pour l'accès à vaultwarden via tunnel : |
33 | `echo -e Host coffre.aquilenet.fr\\nPort 55555\\nUser bitwarden\\nIdentityFile ~/.ssh/id_ed25519_vaultwarden\\nLocalForward localhost:8080 localhost:8080\\nSessionType none >~/.ssh/coffre.conf` |
||
34 | |||
35 | Récupérer le couple de clef ssh non protégées de l'utilisateur non privilégié bitwarden (`/home/bitwarden/.ssh/{id_ed25519_vaultwarden,.pub}`). |
||
36 | Les copier dans le vôtre (ou modifier `~/.ssh/coffre.conf` avec vos login et clefs). |
||
37 | |||
38 | Cette configuration permet une connexion sans exécution d'un shell distant (SessionType none), d'autre part l'utilisateur bitwarden est configuré avec un "dummy shell" dans `/etc/passwd` qui ne permet pas de faire quoi que ce soit sur la machine (/home/bitwarden/Fake_Shell.sh). |
||
39 | |||
40 | 1 | johan.le.baut | lancer la connexion ssh (`ssh coffre`), puis pointer le navigateur sur `http://localhost:8080`. |
41 | 25 | mathias.bert-barbedienne | |
42 | #### Accès via pc en cli |
||
43 | Récupérer le binaire du client cli sur https://vault.bitwarden.com/download/?app=cli&platform=linux |
||
44 | (Ou installer via `npm` avec `npm install -g @bitwarden/cli`) |
||
45 | Décompresser l'archive par exemple dans ~/.Bitwarden_cli |
||
46 | Rendre exécutable le binaire : `chmod +x ~/.Bitwarden_cli/bw` |
||
47 | Modifier le PATH dans ~/.bashrc |
||
48 | `PATH=$PATH:~/.Bitwarden_cli` |
||
49 | Ajouter éventuellement un alias dans ~/.bashrc |
||
50 | `alias bw='bw --pretty'` |
||
51 | |||
52 | Lancer la connexion ssh sur coffre puis configurer le serveur Waultwarden avec : |
||
53 | `bw config server http://localhost:8080` |
||
54 | |||
55 | Connecter le client cli avec : |
||
56 | `bw login` |
||
57 | |||
58 | Rentrer login et password. |
||
59 | Comme proposé renseigner la variable d'environnement `BW_SESSION` avec `export BW_SESSION=....` |
||
60 | |||
61 | Synchroniser les données avec : |
||
62 | `bw sync` |
||
63 | |||
64 | La récupération d'un mot de passe root se fait par exemple avec : |
||
65 | `bw get password iris` |
||
66 | |||
67 | Dans certains cas il y a plusieurs réponses possible (cas pour harpocrates par exemple) et la liste des id est donnée. |
||
68 | On peut alors avoir le détail via : |
||
69 | `bw get item <id>` |
||
70 | `bw get uri <id>` |
||
71 | `bw get username <id>` |
||
72 | `bw get password <id>` |
||
73 | |||
74 | La vérification de la connexion se fait via : |
||
75 | `bw status` |
||
76 | |||
77 | La mise à jour du binaire se fait via : |
||
78 | `bw update` |
||
79 | |||
80 | La déconnexion se fait avec : |
||
81 | `bw logout` |
||
82 | 20 | mathias.bert-barbedienne | |
83 | #### Accès éventuel via ordiphone |
||
84 | Si on veux vraiment et si on en a le besoin réel et explicite, techniquement on peut. |
||
85 | Sur Android, utilisation de l'appli `ConnectBot` (https://play.google.com/store/apps/details?id=org.connectbot) pour l'accès via tunnel ssh et de l'appli bitwarden officielle. |
||
86 | |||
87 | Interdiction **_FORMELLE_** d'utiliser son compte ssh habituel d'admin de l'infra pour cet usage ! |
||
88 | **_OBLIGATION_** d'utiliser un compte dédié, non privilégié avec accès restreint. |
||
89 | |||
90 | Récupérer la clef publique non protégée (`/home/bitwarden/.ssh/id_ed25519_vaultwarden.pub`) ou en générer une nouvelle avec passphrase (simple à taper sur ordiphone) et dédiée à cet usage (`ssh-keygen -t ed25519 -f ~/.ssh/id_ed25519_vaultwarden`) et aller l'ajouter sur harpocrates dans `/home/bitwarden/.ssh/authorized_keys` |
||
91 | |||
92 | Copier cette clef sur l'ordiphone, puis l'importer dans l'appli ConnectBot et la protéger par passphrase si pas déjà le cas. |
||
93 | Menu en haut à droite puis "Gérer les clefs publiques" appuis sur le dossier en haut à droite, naviguer sur le support de stockage et sélectionner la clef publique. |
||
94 | Si pas fait avant, appuis long sur la clef et "Changer le mot de passe" (choisissez en une simple à taper sur ordiphone). |
||
95 | |||
96 | De retour sur le menu général, créer un nouveau serveur en cliquant sur le "+" en bas à droite |
||
97 | renseigner `bitwarden@coffre.aquilenet.fr:55555` |
||
98 | donner un nom à ce nouvel objet |
||
99 | sélectionner la clef dans "Utiliser une clef pour l'authentification" |
||
100 | décocher "Démarrer une session en ligne de commande" (seul le tunnel nous intéresse ici). |
||
101 | cocher éventuellement "Rester connecter" |
||
102 | Enregistrer en haut à droite (icône disquette). |
||
103 | |||
104 | Appuis long sur le serveur nouvellement créé, puis "éditer les redirections de port" |
||
105 | Ajout par "+" |
||
106 | Nom:vaultwarden |
||
107 | type local, |
||
108 | Port source : 8080 |
||
109 | Destionation: localhost:8080 |
||
110 | Enregistrer (Créer la redirection de port). |
||
111 | |||
112 | Lancer la connexion dans ConnectBot |
||
113 | taper la passphrasse |
||
114 | réduire l'appli |
||
115 | lancer l'appli bitwarden |
||
116 | la faire pointer sur http://localhost:8080 dans le menu de configuration en haut à droite |
||
117 | et enfin s'identifier sur le service. |
||
118 | |||
119 | 2 | johan.le.baut | ### Accès admin |
120 | |||
121 | 20 | mathias.bert-barbedienne | On accède à la page d'admin via un tunnel ssh et une redirection de port vers le 8080 et http://localhost:8080/admin |
122 | 2 | johan.le.baut | |
123 | 1 | johan.le.baut | Un token est demandé, il est visible sur Harpocrates dans /var/www/bitwarden/docker-compose.yaml |
124 | 2 | johan.le.baut | |
125 | On ajoute en sécurité supplémentaire une Basic Auth dans Nginx, le fichier de conf est: `/var/www/bitwarden/.htpasswd` |
||
126 | Il contient les admins de Harpocrates avec le même hash password du /etc/shadow |
||
127 | |||
128 | ## Installation |
||
129 | 1 | johan.le.baut | |
130 | 6 | johan.le.baut | |
131 | 20 | mathias.bert-barbedienne | Sur le serveur Harpocrates, on installe le service vaultwarden (initialement avec un reverse proxy nginx, désactivé depuis). |
132 | 2 | johan.le.baut | |
133 | 6 | johan.le.baut | ### installation du service |
134 | 1 | johan.le.baut | |
135 | 26 | johan.le.baut | On peut le lancer via docker, builder manuellement le service ou utiliser un package .deb non officiel. |
136 | 1 | johan.le.baut | |
137 | 26 | johan.le.baut | En ce moment la méthode .deb est utilisée. |
138 | 1 | johan.le.baut | |
139 | 26 | johan.le.baut | #### Package .deb non officiel. |
140 | |||
141 | On peut trouver les packages: |
||
142 | - server: https://github.com/dionysius/vaultwarden-deb |
||
143 | - front web: https://github.com/dionysius/vaultwarden-web-vault-deb |
||
144 | |||
145 | il faut télécharger et installer les deux .deb via les releases. |
||
146 | ```bash |
||
147 | VERSION=1.30.5 |
||
148 | WEB_VERSION=2024.3.0 |
||
149 | wget "https://github.com/dionysius/vaultwarden-deb/releases/download/debian%2F${VERSION}-0/vaultwarden_${VERSION}-0.bookworm_amd64.deb" |
||
150 | wget "https://github.com/dionysius/vaultwarden-web-vault-deb/releases/download/debian%2F${WEB_VERSION}-0/vaultwarden-web-vault_${WEB_VERSION}-0.bookworm_all.deb" |
||
151 | |||
152 | dpkg -i vaultwarden_${VERSION}-0.bookworm_amd64.deb vaultwarden-web-vault_${WEB_VERSION}-0.bookworm_all.deb |
||
153 | ``` |
||
154 | |||
155 | **Première installation** |
||
156 | |||
157 | 1. Modifier le fichier `/etc/default/vaultwarden` pour y ajouter la config, par exemple on décommente: |
||
158 | |||
159 | ``` |
||
160 | WEB_VAULT_FOLDER=/usr/share/vaultwarden-web-vault/ |
||
161 | WEBSOCKET_ENABLED=true |
||
162 | DOMAIN=http://localhost:8080 |
||
163 | SENDS_ALLOWED=true |
||
164 | SIGNUPS_ALLOWED=true |
||
165 | SIGNUPS_VERIFY=true |
||
166 | SIGNUPS_DOMAINS_WHITELIST=aquilenet.fr |
||
167 | INVITATIONS_ALLOWED=true |
||
168 | INVITATION_ORG_NAME=Aquilenet |
||
169 | ADMIN_TOKEN=<THE ADMIN KEY> |
||
170 | DISABLE_ADMIN_TOKEN=false |
||
171 | SMTP_HOST=127.0.0.1 |
||
172 | SMTP_FROM=vaultwarden@coffre.aquilenet.fr |
||
173 | SMTP_FROM_NAME="Vaultwarden (Ne pas répondre)" |
||
174 | SMTP_SECURITY=off |
||
175 | SMTP_PORT=25 |
||
176 | HELO_NAME=coffre.aquilenet.fr |
||
177 | ROCKET_ADDRESS=127.0.0.1 |
||
178 | ROCKET_PORT=8080 |
||
179 | ``` |
||
180 | 2. `systemctl enable vaultwarden && systemctl start vaultwarden` |
||
181 | |||
182 | **Mise à jour** (pas encore testé au 06/05/2024) |
||
183 | |||
184 | Télécharger les .deb et les installer, puis redémarrer le service vaultwarden `systemctl restrart vaultwarden` |
||
185 | |||
186 | |||
187 | 21 | mathias.bert-barbedienne | #### via docker et docker compose (ancienne méthode). |
188 | 6 | johan.le.baut | |
189 | 1. Créer le dossier pour la data du service: |
||
190 | ``` |
||
191 | mkdir -p /srv/vw-data |
||
192 | chown -R bitwarden:bitwarden /srv/vw-data |
||
193 | ``` |
||
194 | |||
195 | 2 | johan.le.baut | 2. On décrit le container docker à lancer via docker compose |
196 | 1 | johan.le.baut | |
197 | 2 | johan.le.baut | |
198 | `cat /var/www/bitwarden/docker-compose.yaml` |
||
199 | ```yaml |
||
200 | version: '3' |
||
201 | 6 | johan.le.baut | |
202 | 2 | johan.le.baut | services: |
203 | vaultwarden: |
||
204 | image: vaultwarden/server:1.25.2 |
||
205 | 4 | johan.le.baut | container_name: vaultwarden |
206 | restart: always |
||
207 | 2 | johan.le.baut | user: 1000:1000 # bitwarden user |
208 | 4 | johan.le.baut | ports: |
209 | 2 | johan.le.baut | - "127.0.0.1:8080:80" # port app |
210 | - "127.0.0.1:3012:3012" # port web socket |
||
211 | environment: |
||
212 | 4 | johan.le.baut | ADMIN_TOKEN: <Admin token> # token to connect to admin |
213 | 2 | johan.le.baut | WEBSOCKET_ENABLED: "true" # Enable WebSocket notifications. |
214 | 1 | johan.le.baut | SIGNUPS_DOMAINS_WHITELIST: aquilenet.fr # on autorise seulement le @aquilenet.fr |
215 | 2 | johan.le.baut | SIGNUPS_VERIFY: true |
216 | 1 | johan.le.baut | INVITATIONS_ALLOWED: false # Les utilisateurs ne peuvent pas inviter des non inscrits (seulement admin) |
217 | volumes: |
||
218 | - /srv/vw-data:/data |
||
219 | 6 | johan.le.baut | |
220 | 1 | johan.le.baut | ``` |
221 | 6 | johan.le.baut | Il est possible de configurer d'autre choses via la page admin |
222 | 1 | johan.le.baut | |
223 | 6 | johan.le.baut | 3. Une fois docker installé, pour démarrer en background: |
224 | `cd /var/www/bitwarden/ && docker compose up -d` |
||
225 | 20 | mathias.bert-barbedienne | |
226 | 6 | johan.le.baut | (4. Mise à jour avec docker) |
227 | |||
228 | Ouvrir `/var/www/bitwarden/docker-compose.yaml` |
||
229 | |||
230 | changer `image: vaultwarden/server:<nouvelle version>` |
||
231 | |||
232 | 20 | mathias.bert-barbedienne | |
233 | 6 | johan.le.baut | Restart (avec docker): |
234 | ``` |
||
235 | cd /var/www/bitwarden/ |
||
236 | 10 | johan.le.baut | docker compose down # Service sera étteint |
237 | 1 | johan.le.baut | docker compose up -d --force-recreate |
238 | 6 | johan.le.baut | ``` |
239 | |||
240 | 26 | johan.le.baut | #### Build et install (ancienne méthode). |
241 | 6 | johan.le.baut | |
242 | 2 | johan.le.baut | Il faut compiler le service et le lancer dans un systemd: |
243 | 13 | johan.le.baut | |
244 | Suivre: https://gist.github.com/heinoldenhuis/f8164f73e5bff048e76fb4fff2e824e1 |
||
245 | 7 | johan.le.baut | |
246 | Pour le build du 'web-vault', on peut utiliser dans bw_web_builds la cmd `make docker-extract`, il créera le dossier `docker_builds/web-vault` (pas besoin d'installer NodeJs de cette manière). |
||
247 | |||
248 | Install actuelle: |
||
249 | - systemd file: `/etc/systemd/system/vaultwarden.service` |
||
250 | - vaultwarden: |
||
251 | - sources dir: /var/www/bitwarden/vaultwarden |
||
252 | 8 | johan.le.baut | - binaire: /var/www/bitwarden/vaultwarden/target/release/vaultwarden |
253 | 9 | johan.le.baut | - data dir: /var/www/bitwarden/vaultwarden/target/release/data |
254 | 8 | johan.le.baut | - env file (config): /var/www/bitwarden/vaultwarden/target/release/.env |
255 | 7 | johan.le.baut | - config: |
256 | |||
257 | ``` |
||
258 | WEB_VAULT_FOLDER=/var/www/bitwarden/bw_web_builds/docker_builds/web-vault |
||
259 | WEBSOCKET_ENABLED=true |
||
260 | SIGNUPS_VERIFY=true |
||
261 | 1 | johan.le.baut | SIGNUPS_DOMAINS_WHITELIST=aquilenet.fr |
262 | ADMIN_TOKEN=<admin token> |
||
263 | 7 | johan.le.baut | INVITATIONS_ALLOWED=false |
264 | ROCKET_ADDRESS=127.0.0.1 |
||
265 | ``` |
||
266 | - web-vault |
||
267 | - sources dir: /var/www/bitwarden/bw_web_builds/ |
||
268 | - build dir: /var/www/bitwarden/bw_web_builds/docker_builds/web-vault |
||
269 | 2 | johan.le.baut | |
270 | ### Reverse proxy Nginx |
||
271 | |||
272 | 20 | mathias.bert-barbedienne | Le site était configuré dans `/etc/nginx/sites-available/coffre.aquilenet.fr.conf` |
273 | 2 | johan.le.baut | |
274 | 20 | mathias.bert-barbedienne | Les certificats étaient gérés par certbot (cf `sudo certbot certificates`) |
275 | 10 | johan.le.baut | |
276 | ### Config SMTP |
||
277 | |||
278 | Il faut configurer une connexion SMTP pour que vaultwarden puisse envoyer des mails. |
||
279 | 16 | johan.le.baut | |
280 | 17 | johan.le.baut | Sur une VM vierge: |
281 | - enlever exim4 |
||
282 | - installer postfix |
||
283 | - enlever params d'authent pour envoyer sur localhost:25 |
||
284 | 18 | johan.le.baut | |
285 | 20 | mathias.bert-barbedienne | Conf vaultwarden SMTP (dans l'interface admin de vaultwarden): |
286 | 18 | johan.le.baut | ``` |
287 | "smtp_host": "127.0.0.1", |
||
288 | "smtp_security": "off", |
||
289 | "smtp_port": 25, |
||
290 | "smtp_from": "vaultwarden@aquilenet.fr", |
||
291 | "smtp_from_name": "Vaultwarden (Ne pas répondre)", |
||
292 | "smtp_timeout": 15, |
||
293 | "helo_name": "coffre.aquilenet.fr", |
||
294 | "smtp_accept_invalid_certs": false, |
||
295 | "smtp_accept_invalid_hostnames": false, |
||
296 | ``` |