Anleitung - Vaultwarden

von Alec Höfler, 2/28/2022, 6:46:54 PM

Selfhosted Passwortmanager mit Bitwarden-Client Support

Vaultwarden, früher auch als bitwarden_rs bezeichnet ist ein kostenloser self-hosted Passwortmanager. Er ist vollkommen kompatibel mit den offiziellen Bitwarden-Clients, ist allerdings deutlich performanter und ressourcen-sparender, da er in Rust programmiert wurde und eine SQLite statt einer MSSQL benutzt und einige praktische features wie kostenlose U2F/Yubikey Unterstützung, ein Admin-Webinterface und umfassende Konfiguration bietet.
Als Basissystem wird ein frisch installiertes Debian 11 empfohlen.

Installation von Docker

Falls auf dem System noch kein docker installiert ist, kann es mit wenigen befehlen erfolgen.

1apt update
2apt install curl -y
3curl https://get.docker.com |bash
4mkdir -p ~/.docker/cli-plugins/
5curl -SL https://github.com/docker/compose/releases/download/v2.2.3/docker-compose-linux-x86_64 -o ~/.docker/cli-plugins/docker-compose
6chmod +x ~/.docker/cli-plugins/docker-compose
7systemctl enable --now docker

Installation von Vaultwarden

Nun kann Vaultwarden mit per docker-compose installiert werden.

1# Erstellen der Ordner
2mkdir -p /home/container/vaultwarden
3cd /home/container/vaultwarden
4# Herunterladen der docker-compose.yml
5curl https://s3.itbyhf.xyz/cdn/aPalm8U0IO/vaultwarden.docker-compose.yml --output docker-compose.yml

Nun kann über nano docker-compose.yml die Datei geöffnet werden, und die Environment-Variablen in Zeile 10-12 entsprechend angepasst werden.

Vaultwarden starten

Nun sind wir schon fast fertig. Vaultwarden kann nun einfach per docker compose gestartet werden:

1docker-compose up -d

Client einrichten

Nun funktioniert Vaultwarden und die Web-App ohne Probleme. Den Client einzubinden gestaltet sich auch nicht schwer.

Download

Für den Browser kann das jeweilige Bitwarden Browser-Addon installiert werden (Links: Chrome, Firefox). und für den Desktop Client sind die Downloads unter https://bitwarden.com/download/ erhältlich.
<b> Beispiel:Browser-Plugin konfigurieren </b>

1. Einstellungen öffnen
2. eine Domain eintragen
3. Änderungen speichern
4. über den normalen Login-Vorgang einloggen

Bei den meisten anderen Clients erfolgt die konfigurieren vergleichslos einfach.

Empfohlene Einstellungen im Admin-Interface

Am Ende will ich noch ein paar wichtige Einstellungen auflisten, die am besten nach der Installation im Admin-Webinterface angepasst werden sollten. Das Admin-Webinterface ist unter /admin erreichbar.

• Settings -> General settings -> Allow new signups auf false: Um Spam und unerwünschte Nutzer zu vermeiden, empfiehlt es sich, die Registrierung zu deaktivieren.
• Settings -> General settings -> Require email verification on signups auf true: Diese Option verlangt eine Bestätigung der E-Mail-Adresse des Nutzers nach Account-Erstellung
• Settings -> General settings -> Invitation organization name Um den Nutzern eine schöne EMail zu senden, stellt man den Anwendungsnamen am besten auf etwas passenderes.
• Settings -> SMTP EMail Settings Dass die EMails überhaupt erst bei den Nutzern ankommen, und nicht im Spam landen, sollte man dringendst einen SMTP Server setzen.

Nun noch das ganze hinter einen Reverse-Proxy setzen. Hier ein Ausschnitt für eine HAProxy Konfiguration

1    ...
2    use_backend vaultwarden_webui if { hdr(host) -i vaultwarden.domain.de } ! { path_beg /notifications/hub }
3    use_backend vaultwarden_notify if { hdr(host) -i vaultwarden.domain.de } { path_beg /notifications/hub }
4    ...
5
6backend vaultwarden_webui
7    server vaultwarden_webui_srv01 10.10.2.58:8085
8
9backend vaultwarden_notify
10    server vaultwarden_notify_srv01 10.10.2.58:3012