Vaultwarden

🎯 Objectifs : Installer Vaultwarden pour gérer vos mot de passe sur tout vos appareils (remplace la gestion de mot de passe Google ou Apple).

Vaultwarden

Vaultwarden est une solution de gestion de vos mot de passe (génération, saisie semi-automatique...) que vous pouvez installer directement sur votre serveur. Cette solution remplace les gestionnaires comme Google, Apple ou Keepass. Cette solution permet de synchroniser tout vos mots de passe sur vos différentes machines, avec un chiffrement de bout en bout.

Vaultwarden est un fork de la solution Bitwarden.

Installation

Structure des dossiers

root
└── docker
    └── vaultwarden
        ├── data
        ├── compose.yaml
        └── .env

Ouvrez Dockge, cliquez sur compose, appelez la stack vaultwarden puis copiez collez ceci :

---
services:
  vaultwarden:
    container_name: vaultwarden
    image: vaultwarden/server:latest
    restart: unless-stopped
    env_file:
      - .env
    volumes:
      - ./data/:/data/
    ports:
      - 3050:80
    environment:
      - DOMAIN=${URL}
      - LOGIN_RATELIMIT_MAX_BURST=10
      - LOGIN_RATELIMIT_SECONDS=60
      - ADMIN_RATELIMIT_MAX_BURST=10
      - ADMIN_RATELIMIT_SECONDS=60
      - ADMIN_TOKEN=${TOKEN}
      - SENDS_ALLOWED=true
      - EMERGENCY_ACCESS_ALLOWED=true
      - WEB_VAULT_ENABLED=true
      - SIGNUPS_ALLOWED=false
      - SIGNUPS_VERIFY=true
      - SIGNUPS_VERIFY_RESEND_TIME=3600
      - SIGNUPS_VERIFY_RESEND_LIMIT=5
Astuce : Ajoutez le label de watchtower dans chaque conteneur afin d'automatiser les mises à jour
services:
  vauktwarden:
    #...
    labels:
      - com.centurylinklabs.watchtower.enable=true

Nous allons maintenant générer un hash de mot de passe, qu'il faudra renseigner dans la variable TOKEN du .env

echo -n "votremotdepasse" | argon2 "$(openssl rand -base64 32)" -e -id -k 65540 -t 3 -p 4

Copiez le résultat précieusement.

Dans le .env, renseignez les variables suivantes :

URL=
TOKEN=
VariableValeurExemple
URLL'url de votre serveur vaultwardenhttps://vault.domaine.fr
TOKENLe token que vous avez précédemment copié précieusement'$argon2id$v=19$m=65540,t=3,p=4$bXBGME

Puis déployez le conteneur.

Depuis quelques temps, Vaultwarden ne permet pas d'etre accéder sans certificat SSL, ce qui empeche d'y accéder via son IP local. Nous y accèderons donc après l'avoir exposé avec SWAG, qui ajoute lui même un certificat SSL.

  • En cas d'échec : vérifiez les règles de votre pare-feu.

Exposer Vaultwarden avec SWAG

Tout l'intérêt d'une telle solution, c'est de pouvoir y accéder à distance et sur tout vos appareils. Pour cela, nous allons exposer Vaultwarden via SWAG.

Au préalable : nous partons du principe que vous avez créé dans votre zone DNS un sous domaine du type vault.mondomaine.fr avec pour CNAMEmondomaine.fr et, à moins que vous utilisiez Cloudflare Zero Trust, que que vous avez déjà redirigé le port 443 de votre box vers le 443 de votre serveur dans les règles NAT.

Dans Dockge, rendez-vous dans la stack de SWAG et éditez le compose en ajoutant le réseau de vaultwarden :

services:
  swag:
     container_name: # ...
      # ... 
     networks:             # Relie le conteneur au réseau custom 
      # ...           
      - vaultwarden            # Nom du réseau déclaré dans la stack
    
networks:                  # Définit le réseau custom
  # ...
  vaultwarden:                 # Nom du réseau déclaré dans la stack
    name: vaultwarden_default  # Nom véritable du réseau externe
    external: true         # Précise que c'est un réseau à rechercher en externe
  • Ici nous partons du principe que le nom du réseau de vaultwarden est vaultwarden_default. Vous pouvez vérifier que la connexion est opérationnelle en visitant le dashboard de SWAG en tapant http://ipduserveur:81.

Relancez la stack en cliquant sur "déployer" et patientez le temps que SWAG soit complètement opérationnel.

Dans les dossiers de Swag, créez le fichier vault.subdomain.conf.

Astuce : vous pouvez utiliser File Browser pour naviguer dans vos fichier et éditer vos documents au lieu d'utiliser les commandes du terminal.
sudo vi /docker/swag/config/nginx/proxy-confs/vault.subdomain.conf

Entrez en modification avec la touche i et collez la configuration ci-dessous :

server {
    listen 443 ssl;
    listen [::]:443 ssl;

    server_name vault.*;

    include /config/nginx/ssl.conf;

    client_max_body_size 128M;

    # enable for ldap auth (requires ldap-location.conf in the location block)
    #include /config/nginx/ldap-server.conf;

    # enable for Authelia (requires authelia-location.conf in the location block)
    #include /config/nginx/authelia-server.conf;

    # enable for Authentik (requires authentik-location.conf in the location block)
    #include /config/nginx/authentik-server.conf;

    location / {
        # enable the next two lines for http auth
        #auth_basic "Restricted";
        #auth_basic_user_file /config/nginx/.htpasswd;

        # enable for ldap auth (requires ldap-server.conf in the server block)
        #include /config/nginx/ldap-location.conf;

        # enable for Authelia (requires authelia-server.conf in the server block)
        #include /config/nginx/authelia-location.conf;

        # enable for Authentik (requires authentik-server.conf in the server block)
        #include /config/nginx/authentik-location.conf;

        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app vaultwarden;
        set $upstream_port 80;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

    }

    location ~ ^(/vaultwarden)?/admin {
        # enable the next two lines for http auth
        #auth_basic "Restricted";
        #auth_basic_user_file /config/nginx/.htpasswd;

        # enable for ldap auth (requires ldap-server.conf in the server block)
        #include /config/nginx/ldap-location.conf;

        # enable for Authelia (requires authelia-server.conf in the server block)
        #include /config/nginx/authelia-location.conf;

        # enable for Authentik (requires authentik-server.conf in the server block)
        #include /config/nginx/authentik-location.conf;

        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app vaultwarden;
        set $upstream_port 80;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

    }

    location ~ (/vaultwarden)?/api {
        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app vaultwarden;
        set $upstream_port 80;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

    }

    location ~ (/vaultwarden)?/notifications/hub {
        include /config/nginx/proxy.conf;
        include /config/nginx/resolver.conf;
        set $upstream_app vaultwarden;
        set $upstream_port 80;
        set $upstream_proto http;
        proxy_pass $upstream_proto://$upstream_app:$upstream_port;

    }
}

Appuyez sur Echap puis sauvegardez et quittez en tapant :x puis en appuyant sur Entrée.

Et voilà, vous avez exposé Vaultwarden ! Accédez au panneau d'administration via vault.mondomaine.fr et créez votre compte. Plus d'info sur les fonctionnalités de Bitwarden.

N'oubliez pas d'installer les extensions Bitwarden (elles sont compatibles avec Vaultwarden) pour Chrome ou pour Firefox ainsi que les applications iOS et Android afin de synchroniser vos mot de passe.

Astuce : vous pouvez protéger cette app avec Authentik en ouvrant tools.subodmain.conf et en retirant les # devant include /config/nginx/authentik-server.conf; et include /config/nginx/authentik-location.conf;. N'oubliez pas de créer une application et un fournisseur dans Authentik.
Table of Contents