在尋覓有哪些 self-hosted 專案好玩時,偶然發現了 1password、LastPass 的開源替代方案,甚至後端資料庫能自架,決定架來用用看。
使用 Bitwarden 來管理密碼
Bitwarden 是一款流行且功能強大的密碼管理工具,它提供了一個安全的方法來存儲和管理所有密碼。作為一個開源產品,Bitwarden 允許用戶選擇自行托管其服務,這意味著用戶可以在自己的服務器上運行 Bitwarden,從而更好地控制自己的數據安全。
Bitwarden 的特點
- 安全性: Bitwarden 使用端到端加密,確保只有您可以訪問您的密碼。
- 跨平台支持: 支持 Windows、macOS、Linux、Android 和 iOS。
- 易於使用: 提供直觀的用戶界面和簡單的操作流程。
- 開源: 開源,增加了透明度和安全性。
Bitwarden 同時支援基於時間的一次性密碼,讓 TOTP 也能自動填入。也能透過 github.com/scito/extract_otp_secrets 來提取 Google Authenticator 內的 2FA 資訊,儲存進 Bitwarden 中。
Bitwarden 開源了 client 與 server,在 server 端的選擇有以下:
- 使用 Bitwarden 提供的官方服務,又分為免費跟付費,但這個選擇就跟 1p 沒太多區別。
- 自架 Bitwarden 提供的 open source server,由於是使用 C# 與 mssql,吃的記憶體著實太多。
- 自架 Bitwarden 相容的後端,我採用的是 rust 實做的 Vaultwarden,搭配 sqlite,記憶體使用量與官方的 C# 不是一個量級的。
Bitwarden 架構
bitwarden 的 local storage 都是儲存加密後的密碼資料,不會使用明碼儲存,故上傳到 server 上的也僅僅是加密後的密碼資料。
master password
master password 是 bitwarden 的基礎密碼,可以用來加密其他密碼資料,也可以用來登入 bitwarden 的 web 介面。每一個密碼加密均會有 master password 的參與,故 master password 必須選用容易記住、難以攻剋的密碼。可以使用官方的密碼強度檢查工具。
儲存密碼
sequenceDiagram participant Client participant Server rect rgb(236,239,244) Client ->> Client: 使用 Master Password 生成加密密鑰 Client ->> Client: 加密密碼資料 Client ->> Server: 發送新增密碼請求 (加密後的密碼資料) Server ->> Server: 儲存加密後的密碼資料 Server -->> Client: 回應成功 (確認訊息) end
新的 client 登入
在 bitwarden 內,可以由多個 client 登入,使用同一個 master password 即可登入。
sequenceDiagram participant Client participant Server rect rgb(236,239,244) Client ->> Client: 用戶輸入帳號和 Master Password Client ->> Server: 發送身份驗證請求 (帳號, 雜湊後的驗證資訊) Server ->> Server: 驗證用戶身份 Server -->> Client: 回傳加密的 vault 資料 Client ->> Client: 使用 Master Password 生成解密密鑰 Client ->> Client: 解密加密的 vault 資料 Client ->> Client: 本地存儲解密後的 vault end
更改 master password
sequenceDiagram participant Client participant Server rect rgb(236,239,244) Client ->> Client: 用戶輸入舊的和新的 Master Password Client ->> Client: 使用舊 Master Password 解密本地 vault Client ->> Client: 使用新 Master Password 生成新加密密鑰 Client ->> Client: 使用新密鑰重新加密 vault Client ->> Server: 上傳重新加密的 vault Server ->> Server: 替換舊的加密資料 Server -->> Client: 確認成功 end rect rgb(236,239,244) loop 每個已登入的客戶端 Client ->> Server: 同步檢查更新 Server -->> Client: 傳送新加密的 vault Client ->> Client: 用戶輸入新的 Master Password Client ->> Client: 生成新解密密鑰 Client ->> Client: 解密並本地更新 end end
Pricing
個人使用的話,若僅需儲存個人密碼與信用卡、身份等純文字資訊,則免費版本已經夠用了,不需要付費。若需要額外的檔案加密、硬體加密、多個組織等等,則需要支付一定的費用。
但如此佛心的開源項目,也鼓勵大家即便自架後端,也仍可以付費訂閱以已支持團隊持續開發與維運,Premium Account 一年 10USD,也並不是一個很大的費用。
使用 Vaultwarden 作為自托管後端
Vaultwarden 是一個 Bitwarden 的非官方後端實現,它使用 Rust 編寫,更輕量且易於部署。使用 Vaultwarden,您可以在自己的服務器上部署 Bitwarden,這樣您就可以完全控制您的密碼數據。
步驟一:Vaultwarden 服務器
可以參考 Vaultwarden 的 wiki,官方有現成的 docker image。 愛折騰的我還是選擇將他包進 helm chart 內部署到 k8s cluster 內方便管理。 vaultwarden 的 wiki 頁十分完整,smtp 等設定都是透過環境變數控制。
步驟二:Bitwarden 客戶端
到 Bitwarden 上查看所有客戶端
我自己是只在瀏覽器、手機上安裝 Bitwarden 客戶端:
需要設定它連接到自己的 Vaultwarden 服務器。
- 在 Bitwarden 客戶端中,這邊以 firefox extension 為例,點擊「正在登入到」,並選擇 self-hosted。
- 在 “服務器 URL” 中輸入 Vaultwarden 服務器地址。
- 登錄或創建一個新的帳戶。
步驟三:開始使用
設定完成後,就可以開始使用來管理密碼了,所有的密碼都會儲存在自己的服務器上。在 bitwarden 內唯一可以用來辨識是否已經套用 vaultwarden 的方式,是打開帳戶->進階會員,若是看到已經是升級帳戶,則表達已經套用。
也可以使用 bitwarden 的 cli 來在 linux 上管理密碼,可以參考 bitwarden-cli。
例如可以用來 mount nas:
❯ sudo mount.cifs -o \
$(bw get item xxxxxxxx-xxxx-4xxx-xxxx-xxxxxxxxxxxx | \
jq -r '.login | "username=\(.username),password=\(.password)"') \
//IP/nas /mnt/nas
? Master password: [hidden]
[sudo] password for root:
步驟四:備份
通用備份
無論是使用 bitwarden 官方 server 還是自架的 vaultwarden,都可以在應用程式內匯出「明碼」或「加密後」的密碼備份檔案,從檔案->會出密碼庫,並輸入 master password 來解密,即可將備份檔案匯出至硬碟。
{
"encrypted": false,
"folders": [],
"items": [
{
"passwordHistory": null,
"revisionDate": "2023-11-11T07:52:23.560Z",
"creationDate": "2023-11-11T07:52:23.560Z",
"deletedDate": null,
"id": "xxxxxxxx-xxxx-4xxx-xxxx-xxxxxxxxxxxx", // UUID v4
"organizationId": null,
"folderId": null,
"type": 1,
"reprompt": 0,
"name": "Google Raiven 55688",
"notes": null,
"favorite": false,
"login": {
"fido2Credentials": [],
"uris": [
{
"match": null,
"uri": "https://www.google.com"
}
],
"username": "raiven55688",
"password": "raiven55688", // 明碼
"totp": null
},
"collectionIds": null
}
]
}
vaultwarden backup
Valutwarden 會將密碼儲存在 sqlite 資料庫中,可以使用 sqlite 工具來匯出備份。或是使用 github.com/ttionya/vaultwarden-backup 來協助我們自動備份密碼。
會使用 Rclone 來備份,也可以直接使用 docker 來 mount vaultwarden 的資料庫上,可以參考文件:
docker run -d \
--restart=always \
--name vaultwarden_backup \
--volumes-from=vaultwarden \
--mount type=volume,source=vaultwarden-rclone-data,target=/config/ \
-e DATA_DIR="/data" \
ttionya/vaultwarden-backup:latest
結論
使用 Bitwarden 和 Vaultwarden 為自己提供一個安全、可靠且完全控制的密碼管理方案。透過這種方法,不僅擁有了強大的密碼管理工具,還確保了數據的私密性和安全性。
由於此 server 是公開的,需要自行處理 fail2ban 與 DDOS 攻擊與備份管理,若此站被攻破,也只能怪自己沒有做好完整的資安防護。