[技术向] 用Docker自建 Vaultwarden (Bitwarden_rs)
[技术向] 用Docker自建 Vaultwarden (Bitwarden_rs)
Bitwarden是一个免费、自由且开源的的密码管理器,服务端也完全开源,可以自己搭建。 本文将咱自建bitwarden的过程记录下来。
更新 Updates
2021-09-30 :了解更多nginx之后重新写了一遍config,而 Bitwarden_RS 已经改名成 Vaultwarden 了
2021-11-03 :增加了使用CDN访问时获取访客真实ip的方法
前言
那个男孩不想拥有自己的密码管理器呢,之前欧式都是 Google 密码和 iCloud keychain 一起用的,混合使用不仅难于跨平台同步(非chrome/apple设备的密码更是无法填充),而且数据也无法自己掌控。上了大学之后,我了解到了全平台开源密码管理器bitwarden。经过了将近半年的折腾,终于做得好用点了,现在记录一下。
准备的东西
一个服务器,至少200MB RAM
一个域名,这里就用了自己在使用的(以 bitwarden.example.com 为例)
还有亿点点耐心和学习搭建密码管理器的兴趣
下载docker镜像
这里我使用的是vaultwarden(前称Bitwarden_RS),虽然它是第三方用Rust重写的,但是需要的资源更少,而且默认开启高级会员的功能 谁不想白嫖呢。
docker pull vaultwarden/server打开你的域名dns管理界面,添加bitwarden的dns记录。
配置反代
情况1:bitwarden单独放在一个服务器上
直接跳到初始化配置,然后将设置改为 -p 80:80 -p 3012:3012
情况2:bitwarden与多个对外服务共存
配置Nginx反代,根据具体情况修改 修改/etc/nginx/nginx.conf,添加如下:
# http
server {
listen 80;
listen [::]:80;
server_name bitwarden.example.com;
##防止搜索引擎收录
if ($http_user_agent ~* "qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|^$") {
return 404;
}
location / { # 访问80端口后的所有路径都转发到 proxy_pass 配置的ip中
root /usr/share/nginx/html;
index index.html index.htm;
##如果使用cf加速就换成302
return 301 https://bitwarden.example.com;
}
}
# https
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name bitwarden.example.com;
if ($http_user_agent ~* "qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|^$") {
return 404;
}
#启用HSTS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
ssl_certificate /path/to/ssl/cert;
ssl_certificate_key /path/to/cert/key;
keepalive_timeout 70;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
##填入你机器的DNS
resolver 8.8.8.8;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
location / {
root /usr/share/nginx/html;
# index index.html index.htm;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port $server_port;
proxy_pass http://localhost:xxxx;
}
}保存并退出,重启nginx:
systemctl restart nginx配置vaultwarden
初始化运行
在命令行根据实际情况(需求)执行
docker run -d --name=bitwarden_rs -e WEBSOCKET_ENABLED=true -e LOG_FILE=/data/bitwarden.log -p xxxx:80 -p XXXX:3012 -v /data-directory-you-want/:/data/ --restart=always vaultwarden/server:latest注:
- --name=你想要在docker里面显示的名字 (可选,方便后续管理)
- 80和3012的设置端口不能冲突
此乃废话 - --restart=always 自动重启
- -v /data-directory-you-want/:/data/ 注意这是从根目录开始的,
废废欧式就是没主意到导致现在整个文件夹都在根目录还找了1个星期都没有找到注意权限
登录网页并设置初始账户
直接打开 [bitwarden.example.com]() ,就出现如下图所示界面(当然这是支持中文的)
直接按着引导走就是了。
高级设定
开启管理界面
添加环境变量-e ADMIN_TOKEN=XXXX(XXXX为管理界面密码)
打开bitwarden.example.com/admin,用你设置好的token登入
登入后在general settings那里把domain url改成你的域名https://bitwarden.example.com (注意要加https://)
allow new signups就是新用户注册许可的开关啦(
添加 SMTP 服务
配置 SMTP 服务可以开启bitwarden的邮件传送功能,能开启二步验证(2FA),能发送邀请,还能给自己邮箱发送password hint(管理密码提示)防止自己脑残忘掉master password
这里咱用的是yandex的self-host email,配置教程可以看newslearner的教程(有些内容有可能过时)或者yandex自己的教程(EN)。
- 创建新的成员账户,即需要用的收发信账户。
- 登入并完成注册。
- 打开yandex mail登入,打开设置
- 选other,然后左边选email client,开启第三方客户端访问权限
- 到security那里,生成app password并复制。
- 回到管理界面,在smtp Email settings那里如图填(或者叫Starttls on, port 587),password就填入刚才生成的app password。
- 保存,并到下方的send test email测试
- 如果看到这个banner出来并收到如下测试邮件的话,Yattase!配置成功了w!
- Enjoy~
使用CDN时让实例获取访客真实ip
一般来讲我们都会使用CDN来提高服务可用性。但是默认设置中Vaultwarden读取 X-Real-IP 的header,这样会读到的全是CDN的节点IP。
要做到获取访客真实IP,可以直接在Admin Panel 中找到 Read Client Header,改成 X-Forwarded-For 保存即可。
Links:
Bitwarden官网:https://bitwarden.com/ Vaultwarden Github页面(有任何问题记住要往这边反映):https://github.com/dani-garcia/vaultwarden Vaultwarden Docker页面: https://hub.docker.com/r/vaultwarden/server
版权声明
本文由欧式fifty(ous50原创,采用Attribution-NonCommercial-ShareAlike 4.0 International授权
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License. 转载请附上原文地址 https://blog.ous50.moe/2021/03/12/vaultwarden%E6%90%AD%E5%BB%BA/
本文来自投稿,不代表本站立场,如若转载,请注明出处:https://www.idc.moe/archives/bitwarden-rs.html
腾讯云开发者
