Bitwarden. Лучший пароль менеджер. Свой сервер. Установка и настройка.
HTML-код
- Опубликовано: 11 сен 2024
- Bitwarden. Лучший пароль менеджер. Свой сервер. Установка и настройка.
Bitwarden Web: bitwarden.com/
Vailtwarden Github: github.com/dan...
Буду очень благодарен за поддержку в виде чашечки ☕️:
www.buymeacoff...
В данном видео рассмотрим сервер Bitwarden. Настроим и сделаем обзор его функций и возможностей.
Будут установлены и настроены следующие сервисы:
- Ubuntu Сервер
- Docker и Docker-compose
- Bitwarden (docker)
- Nginx Proxy Manager • 04-Nginx Proxy Manager...
- DuckDNS (DynDNS) • 03-DuckDNS - Динамичес...
Спасибо. Рад что наткнулся на ваш канал. Желаю всего хорошего.
Спасибо. Рад помочь.
Добрый вечер. Благодарю за информацию 🙂👍
Добрый. Надеюсь интересно и полезно))
Спасибо! отлично! Всех благ! и ждем новых видео
Спасибо за отзыв👍😀
Очень интересно, полезно и понятно. Благодарю. Прокомментируйте пожалуйста или сделайте аналогичный обзор на менеджер паролей SafelnCloud.
Интересно, но все же получается, что сам Bitwarden становится точкой отказа. Теряешь его или машину с nginx - теряешь доступ. Вы говорили про резервное копирование, было бы интересно посмотреть как оно реализовано. Спасибо!
Спасибо. Именно бекапы очень важны для подобных систем. Сделаю видео обязательно.
@@RomNero Поддерживаю - второе по авжности; когда можно будет ознакомиться с "видео по восстановлению...." ?
спасибо шикарный гайд.
Отличная инструкция. Если можно, сделайте продолжение по Bitwarden в админпанеле.
Что на счёт менеджера паролей pass ?
По админке видео будет. О Pass ничего не могу сказать, не использовал. Зависит от целей использования и возможностей программы. Bitwarden выбрал из-за большого количества клиентов и хорошие функции.
Спасибо. Очень хорошая подача. Вопрос, если хранить у себя на физических серверах, как по вашему лучше сделать резервный доступ если вдрг сервак навернётся. Есть ли вариант как-то синхронизировать базы между серверами именно средствами Bitwarden?
По синхронизации не могу сказать, есть ли встроенный механизм.
База данных синхронизирутся с устройствами. И доступна в кеш 30 дней.
Стоит просто делать бекап. И все потом легко восстанавливается
@@RomNero то есть если я с телефона зашёл в приложение и при этом база недоступна, то я смогу получить всю информацию из локального кэша? А с вебом такая фишка тоже работает?
@Rororo321 с телефона да. А с Web это даже не возможно, если сервер не работает
Если есть свой домен и чтобы не заморачиваться с SSL сертификатами и не открывать на роутере какие-либо порты можно использовать Cloudflare tunnel. Это так же будет работать если ваш домашний провайдер не предоставляет белый ip.
Отличная информация👍
Спасибо за видео!
отличный канал, подписался)
Спасибо
Я правильно понял что reverse proxy apache из ролика про VDS работает с IP, а NGINX proxt manager работает только через DNS. Но почему то браузер у APACHE замечает подвох, а у NGINX pm нет такой проблемы
Для Nginx Proxy Manager необходимы dns записи, что бы создавать сертификаты. Но он так же может работать и с ip адресами.
Неужели Вы просто открываете сайт в любом месте вводите логин пароль и пользуетесь ? Мне очень интересна сторона безопасности этого мероприятия. Планирую переезд с KEPASS. Большое спасибо за видео! У Вас прекрасный канал продолжайте его развивать.
Да, верно, могу просто на сайт зайти либо использую на своих устройствах приложения или для браузеров дополнения.
По безопасности: есть двойная авторизация. Так же при подключении Mail, то приходят оповещения, если обнаружено новое подключение. Также от брутфлоса можно прикрутить fail2ban. Или сделать конфигурацию Firewall.
Но mfa решает отлично проблему безопасности.
По keepass хочу ещё сказать, что в нем много отличных функций. Даже тот же автоматический ввод. И keepass больше предназначен для локального использования. Для синхронизации нужно всегда пользоваться сторонними дополнениями и кастомизировать.
@@RomNero Сейчас поковыряюсь вот увидел в документации про Fail2ban, сейчас попробую настроить. Насчёт keepass согласен, много отличных плагинов, но не очень мобилен на андроиде и в убунте с ним были проблемы. Большое спасибо за ответ!
Стоит обязательно сделать https и SMTP (Mail).
В keepass проблема с синхронизации ей иногда у меня бывала.
Заметил, что в данном видео контейнер Vaultwarden устанавливается и запускается из-под рута. Чисто теоретически, может ли злоумышленник, в этом случае, выйти из контейнера и получить доступ к хост системе (виртуальной или реальной)?
Ps. новичок в докере, прошу прощения за дилетантские вопросы. Хотел в личку вопрос задать, но не нашёл её во вкладке "о канале", как было раньше.
Вопрос хороший и его должны видеть и другие.
Да, именно из-за того, что докер запускается от root, то этот контейнер (теоретически) может получить доступ ко всей системе. Поэтому лучше всегда использовать отдельного юзера для запуска контейнеров.
Спасибо, бро) полезно, интересно! А почему не HashiCorp Vault?
Спасибо. HCV как-то тестировал. Тоже хорошая система. Но много о ней сказать не могу, так как только её немного использовал. Выбор bitwarden обусловлен большим количеством community.
Ит из зэ бэттэр пронунсиэйшен вот Ай хэв хиард
В пункте "тайм аут хранилища" установил 72 часа, но хранилище всё-равно блокируется при каждом перезапуске браузера. Надоедает постоянно вводить пароль или пин код. Почему оно блокируется постоянно? Ведь указываю 72 часа.
Полезная инструкция, очень пригодилась. Подскажите как привязать ssl сертификат не используя DNS так ка мне нужно чтобы менеджер паролей был доступен только в локальной сети.
Есть несколько способов. Вот некоторые из них:
* купить сертификаты (проще всего, но зачастую не дёшево)
* создавать сертификаты с помощью Let'sEncrypt, на каком-то внешнем сервере и потом их использовать.
* создать простые сертификаты с помощью openssl локально
* создать сертификаты на сайтах. Например на sslforfree
@@RomNero Спасибо
можешь сделать видео на тему того как настроить ту часть где новым пользователям нужно подтверждать свою почту прежде чем они смогут залогиниться в первый раз
Это всё делается одной галочкой в админ панели. Для целого видео будет немного маловато😄
@@RomNero возможно стоит показать доп настройки с AD, outluk и т.д. и просто показать как это работает
А зачем программа на ПК, если она никак не связана с расширением браузера?
Сложна) А вообще связка git(gitlab) + pass выглядит попроще) Нет мороки с https, так как доступ дается по ssh(через gitlab), да и клиенты есть на все нужные платформы.
Какой Pass имеешь ввиду?
@@RomNero обычный консольный, в гугле password-store, шифрует пароли через gpg и пароли хранит локально, при вынесении в гитлаб даёт возможность переносить на любые устройства.
Помимо консольного использования есть и десктопные варианты, но я сам прикипел к консоли и пользуюсь из консоли, а в браузере просто ставится расширение.
Главное private ключ не светить)
Я вижу что большой плюс что вообще нет возни с докером)
Почему в строке запуска нет --restart always? Ведь без этого контейнер не будет запускаться после рестарта сервера.
Можешь указать, как удобно. Лучше используй unless-stopped
Вы и сейчас пользуетесь таким стеком дома или появилось что-то актуальнее?
Пока ещё более интересного менеджера не нашёл. В Bitwarden мне не хватает только функции autotype.
@@RomNero а обратный прокси сервер тот же или переехали на траефик?
Ещё нахожусь на стадии оптимизации и прикидываю варианты стоит ли переносить всю инфраструктуру на кубер. Сейчас параллельно оба proxy использую: npm и traefik.
Разработчики начали вводить монитизацию. Организация более 2-х пользователей стала платной. Проверки на утечки так же платная...
Не путай bitwarden с vaultwarden!!!
Факт, сейчас уже нельзя создавать организацию на self-hosted версии, запрашивает ключ лицензии@@RomNero
А что можете сказать о менеджере паролей Teampass?
К сожалению, ничего не могу сказать. Не использовал и не анализировал.
малинка и biwarden находятся в одной локалке? за одним роутером?
Можно и так ставить. У меня ещё firewall после роутер и всё разделёно на subnetworks
А если порт 80 при установке nginx занят, как можно решить такую проблему? Я так понял что мы на порт 80 закатали докер или как. Только начинаю просто разбираться.
Стандартный порт HTTP это 80. Конечно, можно использовать и другой, но в браузере нужно будет указывать порт. А по докеру посмотрите лучше виде: ruclips.net/video/ctJnI43ermQ/видео.html
@@RomNero Спасибо, буду пробовать
На сколько свой сервер паролей Bitwarden защищённый и без эксплоитов ?
Защита в основном зависит как сам сервер настроен и какие защитные механизмы подключены, например firewall.
Проект хорош, инструкция прекрасная, но то что разработчики не предусмотрели иных вариантов деплоя, кроме как через докер, порождает отсутствие всякого желания работать с этим проектом. Повсеместная докермания - это просто трешанина какая-то. Докер хорошо использовать при разработке, но ставить на критические проекты поделку в виде докера, ну вот совсем желания никакого нет.
Сейчас докер стабилен и скажу так, что большинство критических систем работают как раз в контейнерах.
Но если все же хочется ставить по стандартному старому методу, то есть инструкция, как это делать. Я понимаю ваше недовольство докером, но это из-за того, что вы с ним мало работаете.
Докер дает намного больше возможностей.
А то, что Докер только для разработки используется, уже очень устаревшее высказывание.
Попробуйте перейти на Докер и Вы поймёте все краски этой технологии.
Докер был создан для того, чтобы сервис работал на любой системе. Как раз для поставки продукта. Под разработку докер никогда не был заточен, то что его используют для этого - да. Но только из-за того, что это по сути не требовательная виртуальная среда выполнения.
как получить 2fa аутентификатор при настройке на своем сервере?
Получилось?
@@yes_future да
Уже не бесплатно :(
Vaultwarden!!!