Vaultwarden
Vaultwarden est une solution de gestion de vos mot de passe (génération, saisie semi-automatique...) que vous pouvez installer directement sur votre serveur. Cette solution remplace les gestionnaires comme Google, Apple ou Keepass. Cette solution permet de synchroniser tout vos mots de passe sur vos différentes machines, avec un chiffrement de bout en bout.
Vaultwarden est un fork de la solution Bitwarden.
Installation
Structure des dossiers
root
└── docker
└── vaultwarden
├── data
├── compose.yaml
└── .env
Ouvrez Dockge, cliquez sur compose, appelez la stack vaultwarden puis copiez collez ceci :
version: "3"
services:
vaultwarden:
container_name: vaultwarden
image: vaultwarden/server:latest
restart: unless-stopped
env_file:
- .env
volumes:
- ./data/:/data/
ports:
- 3050:80
environment:
- DOMAIN=${URL}
- LOGIN_RATELIMIT_MAX_BURST=10
- LOGIN_RATELIMIT_SECONDS=60
- ADMIN_RATELIMIT_MAX_BURST=10
- ADMIN_RATELIMIT_SECONDS=60
- ADMIN_TOKEN=${TOKEN}
- SENDS_ALLOWED=true
- EMERGENCY_ACCESS_ALLOWED=true
- WEB_VAULT_ENABLED=true
- SIGNUPS_ALLOWED=false
- SIGNUPS_VERIFY=true
- SIGNUPS_VERIFY_RESEND_TIME=3600
- SIGNUPS_VERIFY_RESEND_LIMIT=5
networks:
swag:
name: swag_default
external: true
- Nous avons ajouté le réseau de Swag afin que les deux puissent communiquer ensemble. Assurez-vous que le nom du réseau soit correct. Nous partons du principe qu'il se nomme
swag_default.
services:
vauktwarden:
#...
labels:
- com.centurylinklabs.watchtower.enable=true
Nous allons maintenant générer un hash de mot de passe, qu'il faudra renseigner dans la variable TOKEN du .env
echo -n "votremotdepasse" | argon2 "$(openssl rand -base64 32)" -e -id -k 65540 -t 3 -p 4
Copiez le résultat précieusement.
Dans le .env, renseignez les variables suivantes :
URL=
TOKEN=
| Variable | Valeur | Exemple |
|---|---|---|
URL | L'url de votre serveur vaultwarden | https://vault.domaine.fr |
TOKEN | Le token que vous avez précédemment copié précieusement | '$argon2id$v=19$m=65540,t=3,p=4$bXBGME |
Puis déployez le conteneur.
Accédez au panneau d'administration via http://ipduserveur:3050 et créez votre compte. Plus d'info sur les fonctionnalités de Bitwarden.
- En cas d'échec : vérifiez les règles de votre pare-feu.
Exposer Vaultwarden avec SWAG
Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Vaultwarden via SWAG.
vault.mondomaine.fr avec pour CNAMEmondomaine.fr et, à moins que vous utilisiez Cloudflare Zero Trust, que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT.Dans les dossiers de Swag, créez le fichier vault.subdomain.conf.
sudo vi /docker/swag/config/nginx/proxy-confs/vault.subdomain.conf
Entrez en modification avec la touche i et collez la configuration ci-dessous :
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name vault.*;
include /config/nginx/ssl.conf;
client_max_body_size 128M;
# enable for ldap auth (requires ldap-location.conf in the location block)
#include /config/nginx/ldap-server.conf;
# enable for Authelia (requires authelia-location.conf in the location block)
#include /config/nginx/authelia-server.conf;
# enable for Authentik (requires authentik-location.conf in the location block)
#include /config/nginx/authentik-server.conf;
location / {
# enable the next two lines for http auth
#auth_basic "Restricted";
#auth_basic_user_file /config/nginx/.htpasswd;
# enable for ldap auth (requires ldap-server.conf in the server block)
#include /config/nginx/ldap-location.conf;
# enable for Authelia (requires authelia-server.conf in the server block)
#include /config/nginx/authelia-location.conf;
# enable for Authentik (requires authentik-server.conf in the server block)
#include /config/nginx/authentik-location.conf;
include /config/nginx/proxy.conf;
include /config/nginx/resolver.conf;
set $upstream_app vaultwarden;
set $upstream_port 80;
set $upstream_proto http;
proxy_pass $upstream_proto://$upstream_app:$upstream_port;
}
location ~ ^(/vaultwarden)?/admin {
# enable the next two lines for http auth
#auth_basic "Restricted";
#auth_basic_user_file /config/nginx/.htpasswd;
# enable for ldap auth (requires ldap-server.conf in the server block)
#include /config/nginx/ldap-location.conf;
# enable for Authelia (requires authelia-server.conf in the server block)
#include /config/nginx/authelia-location.conf;
# enable for Authentik (requires authentik-server.conf in the server block)
#include /config/nginx/authentik-location.conf;
include /config/nginx/proxy.conf;
include /config/nginx/resolver.conf;
set $upstream_app vaultwarden;
set $upstream_port 80;
set $upstream_proto http;
proxy_pass $upstream_proto://$upstream_app:$upstream_port;
}
location ~ (/vaultwarden)?/api {
include /config/nginx/proxy.conf;
include /config/nginx/resolver.conf;
set $upstream_app vaultwarden;
set $upstream_port 80;
set $upstream_proto http;
proxy_pass $upstream_proto://$upstream_app:$upstream_port;
}
location ~ (/vaultwarden)?/notifications/hub {
include /config/nginx/proxy.conf;
include /config/nginx/resolver.conf;
set $upstream_app vaultwarden;
set $upstream_port 80;
set $upstream_proto http;
proxy_pass $upstream_proto://$upstream_app:$upstream_port;
}
}
Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée.
Et voilà, vous avez exposé Vaultwarden ! N'oubliez pas d'installer les extensions Bitwarden (elles sont compatibles avec Vaultwarden) pour Chrome ou pour Firefox ainsi que les applications iOS et Android afin de synchroniser vos mot de passe.
tools.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf;. N'oubliez pas de créer une application et un fournisseur dans Authentik.