docker部署Vaultwarden密码共享管理系统

已于 2024-04-17 11:06:40 修改
阅读量3.7k 收藏 7
点赞数 1
文章标签: docker 容器 运维
于 2023-10-07 21:57:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51697917/article/details/133654754
版权

Vaultwarden是一个开源的密码管理器,它是Bitwarden密码管理器的自托管版本。它提供了类似于Bitwarden的功能,允许用户安全地存储和管理密码、敏感数据和身份信息。

Vaultwarden的主要特点包括:

1. 安全的数据存储:Vaultwarden使用加密算法对用户的数据进行加密,并将其存储在数据库中。用户的数据只能通过唯一的加密密钥进行解密,确保数据的机密性。


2. 跨平台支持:Vaultwarden可以用作独立的Web应用程序或与桌面客户端、浏览器插件等配合使用,以满足不同平台和设备上的需求。


3. 密码生成器:Vaultwarden提供了密码生成器,可以帮助用户生成强密码,确保账号的安全性。


4. 浏览器插件支持:Vaultwarden支持各种浏览器插件,方便用户在浏览器中轻松地填充和保存密码。


5. 多因素身份验证:Vaultwarden支持多种身份验证方式,如TOTP(基于时间的一次性密码)和二次验证码(如YubiKey),以增加登录过程的安全性。


6. 团队协作:Vaultwarden支持团队协作,用户可以与团队成员共享密码和敏感数据,方便安全地共享账号和信息。

使用Vaultwarden,用户可以集中管理他们的密码和敏感数据,并通过强加密和严格的访问控制来保护这些数据。由于它是开源的,用户可以自行托管并拥有完全控制权,满足对数据隐私和安全性有更高要求的用户需求。

下面我将介绍Vaultwarden的docker部署方式:

 1、卸载旧版本

如果你之前已经安装过Docker,请先卸载旧版本。执行以下命令卸载Docker:

sudo yum remove docker \
                  docker-client \
                  docker-client-latest \
                  docker-common \
                  docker-latest \
                  docker-latest-logrotate \
                  docker-logrotate \
                  docker-engine

2、安装依赖包

在安装Docker之前,需要安装一些必要的依赖包。执行以下命令安装依赖包:

sudo yum install -y yum-utils device-mapper-persistent-data lvm2

3、添加Docker软件源

使用以下命令设置Docker官方GPG密钥:

sudo yum-config-manager --add-repo https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

4、安装Docker

执行以下命令安装Docker:

sudo yum makecache fast
sudo yum -y install docker-ce

 5、启动Docker

执行以下命令启动Docker服务:

sudo systemctl start docker

6、验证安装

执行以下命令验证Docker是否安装成功:

sudo docker run hello-world

如果输出如下信息,说明Docker安装成功:

Hello from Docker!
...

 7、拉取Vaultwarden镜像

执行以下命令检查当前镜像仓库是否存在Vaultwarden镜像:

sudo docker search vaultwarden

执行以下命令拉取 Vaultwarden镜像:

sudo docker pull vaultwarden/server

8、安装MySQL5.7数据库

由于官方镜像使用的是微软的SQLserver不方便我们后期的维护,这里就需要部署MySQL以方便我们后期对Vaultwarden的维护,这就不讲MySQL是如何部署的,不会请自行百度。

9、启动Vaultwarden容器

执行以下命令启动启动Vaultwarden容器:

docker run -d --name vaultwarden --restart=always -e WEBSOCKET_ENABLED=true -e SIGNUPS_ALLOWED=false -e DOMAIN=https://vault.moutai.com.cn -e ADMIN_TOKEN=eMEt*W4ay7 -e DATABASE_URL=mysql://vault:bBzExr8Lj3NWdnsR@10.0.11.22:3306/vault -v /data/bitwarden/:/data/ -p 8080:80 -p 3012:3012 vaultwarden/server:latest

以下是启动命令中使用的选项和参数的解释:

  • -d:以守护进程模式运行容器。
  • --name vaultwarden:指定容器的名称为"vaultwarden";
  • --restart=always:设置容器在重启时自动启动;
  • -e WEBSOCKET_ENABLED=true:启用WebSocket支持;
  • -e SIGNUPS_ALLOWED=false:禁止用户自行注册新账户;
  • -e DOMAIN=https://vault.moutai.com.cn:设置Vaultwarden的域名;
  • -e ADMIN_TOKEN=eMEt*W4ay7:设置管理员令牌(密码);
  • -e DATABASE_URL=mysql://vault:bBzExr8Lj3NWdnsR@10.0.11.22:3306/vault:指定MySQL数据库的连接URL;
  • -v /data/bitwarden/:/data/:将宿主机上的/data/bitwarden/目录挂载到容器内的/data/目录,用于持久化数据;
  • -p 8080:80 -p 3012:3012:将宿主机的8080端口映射到容器的80端口,以及3012端口映射到容器的3012端口;
  • vaultwarden/server:latest:运行最新版本的Vaultwarden服务器镜像;

10、 域名解析

后端的 Bitwarden 服务已经成功运行,前端如何访问呢?

有两种方法:

  • 直接使用 https://{ip}:{password}​ 访问 web
  • 申请个域名,使用 https://{domain}​ 访问 web

使用 ip 访问,记得去设置安全组,开放端口

使用域名访问,可以使用子域名,省得再申请域名,个人推荐使用域名,使用上更方便。

在云厂商上设置好 DNS 解析后,还需要设置下 nginx 的反向代理,才可以使用域名进行访问。

11、部署Nginx反向代理

这里值得说的是如果你不部署Nginx反向代理你是无法打开Vaultwarden的。

这里就不详细讲Nginx如何部署的,咱们直接讲Nginx的配置,找到你的 nginx 配置文件路径,假设是 /usr/local/nginx/conf/nginx.conf,添加如下配置,并将申请好的域名证书对应的pem、key文件放在正确的位置,并重启 nginx 服务。

user  www www;
worker_processes auto;
error_log  /www/wwwlogs/nginx_error.log  crit;
pid        /www/server/nginx/logs/nginx.pid;
worker_rlimit_nofile 51200;

events {
    use epoll;
    worker_connections 51200;
    multi_accept on;
}

http {
    include       mime.types;
    #include luawaf.conf;

    include proxy.conf;

    default_type  application/octet-stream;

    server_names_hash_bucket_size 512;
    client_header_buffer_size 32k;
    large_client_header_buffers 4 32k;
    client_max_body_size 50m;

    sendfile   on;
    tcp_nopush on;

    keepalive_timeout 60;

    tcp_nodelay on;

    fastcgi_connect_timeout 300;
    fastcgi_send_timeout 300;
    fastcgi_read_timeout 300;
    fastcgi_buffer_size 64k;
    fastcgi_buffers 4 64k;
    fastcgi_busy_buffers_size 128k;
    fastcgi_temp_file_write_size 256k;
    fastcgi_intercept_errors on;

    gzip on;
    gzip_min_length  1k;
    gzip_buffers     4 16k;
    gzip_http_version 1.1;
    gzip_comp_level 2;
    gzip_types     text/plain application/javascript application/x-javascript text/javascript text/css application/xml;
    gzip_vary on;
    gzip_proxied   expired no-cache no-store private auth;
    gzip_disable   "MSIE [1-6]\.";

    limit_conn_zone $binary_remote_addr zone=perip:10m;
    limit_conn_zone $server_name zone=perserver:10m;

    server_tokens off;
    access_log off;

    include /www/server/panel/vhost/nginx/*.conf;

    # 'upstream' 指令确保你有一个 http/1.1 连接
    # 这里启用了 keepalive 选项并拥有更好的性能
    upstream vaultwarden-default {
        zone vaultwarden-default 64k;
        server 127.0.0.1:8080;
        keepalive 2;
    }
    
    upstream vaultwarden-ws {
        zone vaultwarden-ws 64k;
        server 127.0.0.1:3012;
        keepalive 2;
    }
    
    server {
        listen 888;
        server_name phpmyadmin;
        index index.html index.htm index.php;
        root  /www/server/phpmyadmin;

        #error_page   404   /404.html;
        include enable-php.conf;

        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
        {
            expires      30d;
        }

        location ~ .*\.(js|css)?$
        {
            expires      12h;
        }

        location ~ /\.
        {
            deny all;
        }

        access_log  /www/wwwlogs/access.log;
    }

    server {
        listen 80;
        listen [::]:80;
        server_name vault.moutai.com.cn;
        return 301 https://$host$request_uri;
    }

    server {
        listen 443 ssl http2;
        listen [::]:443 ssl http2;
        server_name vault.moutai.com.cn;

        ssl_certificate /etc/letsencrypt/live/moutai.com.cn/10095543__moutai.com.cn.pem;
        ssl_certificate_key /etc/letsencrypt/live/moutai.com.cn/10095543__moutai.com.cn.key;
        ssl_trusted_certificate /etc/letsencrypt/live/moutai.com.cn/10095543__moutai.com.cn.pem;

        client_max_body_size 128M;

        location / {
            proxy_http_version 1.1;
            proxy_set_header "Connection" "";

            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;

            proxy_pass http://vaultwarden-default;
        }

        location /notifications/hub/negotiate {
            proxy_http_version 1.1;
            proxy_set_header "Connection" "";

            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;

            proxy_pass http://vaultwarden-default;
        }

        location /notifications/hub {
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";

            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header Forwarded $http_x_forwarded_for;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;

            proxy_pass http://vaultwarden-ws;
        }

    }
}

12、登录Vaultwarden管理平台

        管理员页面用于管理Vaultwarden应用程序。作为管理员,您可以创建,编辑和删除用户、组和条目,设置应用程序选项并监视应用程序统计信息。管理员页面需要管理员账号和密码才能访问,可以通过在Vaultwarden服务器上运行的特殊命令来创建管理员账号。

输入我们在创建容器时设置的管理员令牌来登录。

以下是Vaultwarden管理员页面的一些功能:

  • 用户和组管理:管理员可以创建、编辑和删除Vaultwarden应用程序中的用户和组。管理员还可以为用户分配和管理组和条目访问权限。
  • 应用程序选项设置:管理员可以配置Vaultwarden应用程序的选项,例如应用程序语言、加密设置和自动锁定时间等。
  • 安全审计日志:管理员可以查看Vaultwarden应用程序的安全审计日志,以监视各种安全事件和故障情况。
  • 用户密码策略:管理员可以设置并强制实施强密码策略,例如密码长度、复杂性和有效期限。
  •  数据备份和恢复:管理员可以定期备份Vaultwarden应用程序的数据,并在需要时对数据进行恢复。
  • 应用程序更新:管理员可以在更新可用时升级Vaultwarden应用程序到最新版本,以确保应用程序运行的安全和稳定性。

这些功能使管理员能够更好地管理Vaultwarden应用程序并确保其运行的安全和可靠性。

需要注意的是现在你的密码管理服务器是不允许新用户注册的需要再管理界面将其打开,允许新用户注册登录。

然后点击保存配置,这时你才能注册新用户。

13、登录Vaultwarden用户界面

注册新用户

使用新注册的用户登录

14、新建组织

Vaultwarden提供了以下一些组织功能:

  • 组织创建:管理员可以创建组织,将用户分配到组织中。组织可以根据不同的团队、部门或项目进行组织和管理。
  • 权限管理:管理员可以为组织中的用户分配不同的权限级别,以控制他们对组织内密码和保密信息的访问和操作权限。
  • 组织共享:管理员可以在组织内共享密码和保密信息。这使得团队成员能够方便地共享和访问共享的敏感信息。
  • 组织级别的密码策略:管理员可以为组织设置密码策略,强制组织内的所有用户遵守相同的密码要求和安全标准。
  •  组织审计:管理员可以查看和监控组织的活动日志和审计记录,以便跟踪和审计组织成员的操作和变更。

通过这些组织功能,Vaultwarden使得团队和组织能够更好地协作、共享和管理敏感信息,并提供了更好的安全性和控制。

 

在组织中通过新建集合然后再集合内新建项目(密码),通过集合去分配权限,单独或多个授权给用户,已达到权限控制的效果。

至此我们的Vaultwarden密码管理系统已经介绍完了,其它的功能我这里就不一 一细说了各位大佬可以自行研究,如果有遇到问题可以私信小编。

centreon~
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
30 秒使用 VaultWarden 搭建个人密码管理器
favxxx的博客
09-13 578
我一开始用的确实是 LastPass,但是 LastPass 的价格策略频繁调整,从一开始的免费,到后来逐渐收费,让我开始对其提高警惕。而且,尽管它的安全记录相对来说比较良好,但经历过数次的漏洞曝出,让我对于其中的数据安全产生了疑虑。在这里可以根据情况对 Vaultwarden 进行一些可选设置,所有的设置项都可以通过鼠标悬停查看相应的说明,不了解的选项建议保持默认。对服务器需要的资源有点多,内存必须大于** 2G**,小内存机器是根本跑不起来的,一般推荐使用第三方开发的 Vaultwarden
项目管理看板系统Taiga源代码涵盖Docker部署项目
08-14
项目管理看板系统Taiga源代码涵盖Docker部署项目
使用docker自建vaultWarden服务器并实现全平台https访问
lsy9202C的专栏
01-28 3640
1台运行了DSM6.2的黑群晖,打算在其上搭建1台bitWarden服务器,来替代keePass和1password,搭建过程中走了不少弯路,特此记录。 在搭建中尝试使用过群晖第三方套件源中的vaultWarden套件,但是版本过旧且配置也比较麻烦,最终选定用docker自己搭建。
TeamPass - 开源的多用户密码管理器
最新发布
gitblog_00085的博客
03-15 429
TeamPass - 开源的多用户密码管理器 TeamPass 是一个开源的、基于 Web 的多用户密码管理系统。它允许团队成员共享、存储和管理登录凭据和其他敏感数据。 TeamPass 能用来做什么? TeamPass 可以帮助您的组织实现以下目标: 集中密码管理:将所有登录凭证、API 密钥和其他敏感信息存储在一个安全的位置。 协作与分享:轻松地在团队成员之间分享权限受限的数据。 强大的安全...
如何通过 Docker 快速部署开源密码管理器 Bitwarden
easylife206的专栏
12-16 3587
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !前言两年前,我就想自托管 Bitwarden 密码管理器了,但是直到 2022 年快结束的现在,我才真正动手。在搭建好 Vaultwarden 服务以后,这两天我就干了三件事:把七年里 Google Chrome 保存的密码导入到 Vaultwarden删除所有 Google Chrome 保存的密码整理密码:登录这...
bitwardenvaultwardendocker搭建
dyq94310的博客
09-12 8431
bitwarden 搭建 背景 免费用户LastPass目前只能在一个设备上登陆,所以迁移到bitwarden。bitwarden是开源的跨平台密码管理软件。搭建后可以有全部功能 具体流传步骤 前置条件: 安装docker bitwarden只支持Https,所以VPS需要有域名、开放80 、443端口 Lastpass导出的密码:我选择的CSV格式 bitwardenr: 密码管理程序 下载镜像 sudo docker pull bitwardenrs/server:latest 创建密
使用 VaultWarden 搭建个人密码管理器 原先Bitwarden
Vic的博客
04-11 2713
私有部署 BitWarden ,不仅自己可以用,也可以给家里人使用,但注册好后,请及时将关闭 web 功能,或者关闭注册功能。服务器禁止密码登陆,只开启使用密钥登陆及时升级软件,避免三方软件的安全漏洞对数据进行定期的备份,防止数据误删除限制不必要的端口,安全组别乱开总之,便利与安全是两个是相互对抗,只能平衡,不能消除,使用 BitWarden 一定要注意做好安全措施。
群晖如何使用反向代理,让docker服务(vaultwarden)可以使用https
qq_34034975的博客
08-22 3540
这个时候你会发现访问不了,设置下证书,如何申请证书,这个自己百度吧,我是用的宝塔一键申请的免费证书,证书有很多种方式,阿里云也有免费的等等设置你哪个服务,用哪个证书即可(这点就是为啥用群晖的原因,点几下就好了,其他服务器弄本地弄证书略微复杂)
使用非 Docker 方案在腾讯云轻量应用服务器上搭建密码管理软件 Vaultwarden (Bitwarden_rs)
Signaliks的博客
05-03 1519
前言 Vaultwarden 原名 Bitwarden_rs,自 v2.21.0 开始更名为 Vaultwarden。Bitwarden 原始服务端使用 C# 编写,部署困难,且要求 MSSQL 等商业软件,运行需要 2GB 以上的内存;而 Vaultwarden 是一个使用 Rust 编写的非官方 Bitwarden 服务器实现,它与官方 Bitwarden 客户端兼容,运行 Vaultwarden 时只需要 10M 内存,可以说对硬件基本没有要求,对于不希望使用官方的占用大量资源的自托管部署而言,它是理
手把手教你实现Docker 部署 vue 项目
09-29
主要介绍了手把手教你实现Docker 部署 vue 项目,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
vaultwarden-ansible:在树莓派上为 Vaultwarden 进行 Ansible 部署
07-24
保险库管理员 Ansible 文章 树莓派上 vaultwarden rs 的 Ansible 部署 必需的 Ansible 2.9.7 或更新 域或子域访问 (DNS) 未使用 80 和 443 端口 在剧本执行之前 SSH 密钥 对于ansible,你需要给你的树莓派你的ssh密钥,简单的方法是 ssh-copy-id pi@RASP_LOCAL_IP 之后,你可以退出你的 rasp 并尝试连接,如果他没有要求密码,这部分就准备好了 主持人 打开名为“host”的文件并编辑“<---”所在的行 all: vars: ansible_python_interpreter: /usr/bin/python3 hosts: node1: ansible_host: RASP_LOCAL_IP < ---
Vaultwarden:用 Rust 编写的 Bitwarden 兼容服务器-开源
08-10
基本上提供了 Bitwarden API 的完整实现,包括组织支持、附件、Vault API 支持、为 Vault 界面提供静态文件、网站图标 API、身份验证器和 U2F 支持、yubiKey 和 Duo 支持。 拉取 docker 镜像并从主机挂载一个用于持久存储的卷。 这将保留 /vw-data/ 下的任何持久数据,您可以将路径调整为适合您的任何内容。 某些 Web 浏览器(例如 Chrome)不允许在不安全的上下文中使用 Web Crypto API。 在这种情况下,您可能会收到类似无法读取属性“importKey”的错误。 要解决此问题,您需要从 HTTPS 访问 Web Vault。 这可以直接在 vaultwarden 中配置,也可以使用第三方反向代理(一些示例)进行配置。 如果您有可用的域名,您可以使用 Let's Encrypt 获取 HTTPS 证书,或者您可以使用 mkcert 等实用程序生成自签名证书。 某些代理会自动执行此步骤,例如 Caddy。
docker-vault
07-19
码头工人保险库 的映像。 运行容器 使用docker命令: CONTAINER="vaultdata" && sudo docker run \ --name "${CONTAINER}" \ -h "${CONTAINER}" \ -v /vault \ viljaste/data:latest CONTAINER="vault" && sudo docker run \ --name "${CONTAINER}" \ -h "${CONTAINER}" \ --restart always \ -p 8200:8200 \ --volumes-from vaultdata \ -e SERVER_NAME="localhost" \ -e BACKEND="file" \ --cap-add IPC_LOCK \ -d \ v
vaultfs, Vault 文件系统 ( 和 Docker 卷插件).zip
09-18
vaultfs, Vault 文件系统 ( 和 Docker 卷插件) VaultFS VaultFS在FUSE中安装任意保险库的前缀。 它还为你的容器提供了一个 Docker 卷插件。目录VaultFS挂载插件Docker许可协议安装这里项目处于早期开发阶段,还没有达到 1.0. 你
docker-vault:HashiCorp VaultDocker 镜像
06-09
码头工人保险库 测试图像/版本 ➜ docker run -it --rm dontrebootme/vault:0.1.0 version Vault v0.1.0-dev (e9b3ad035308f73889dca383c8c423bb5939c4fc+CHANGES) 在服务器开发模式下运行 ➜ docker run -it --rm --cap-add IPC_LOCK dontrebootme/vault:0.1.0 server -dev WARNING: Dev mode is enabled! In this mode, Vault is completely in-memory and unsealed. Vault is configured to only have a single unseal key. The root token has alread
docker-glpi:使用Docker部署GLPI的项目
05-05
使用Docker部署GLPI的项目目录 使用持久性数据进行部署mysql.env 码头工人组成.yml 环境变量时区 介绍使用docker安装并运行GLPI实例。 使用CLI部署 部署GLPI docker run --name mysql -e MYSQL_ROOT_PASSWORD=diouxx...
docker部署Java项目流程
09-30
docker部署Java项目流程
Docker学习笔记之Docker部署Java web系统
01-10
Docker部署Java Web系统  1.在root目录下创建一个路径test/app mkdir test && cd test&& mkdir app &&cd app 2.将apache-tomcat-7.0.29.tar.gz及jdk-7u25-linux-x64.tar.gz拷贝 到app目录下 3.解压两个tar.gz文件 ...
docker 部署 Vaultwarden 教程,并且其中的结合jlesage/nginx-proxy-manager做反向代理,并且开启ssl来访问Vaultwarden
04-20
好的,关于docker部署Vaultwarden的教程和使用jlesage/nginx-proxy-manager做反向代理以及开启ssl来访问Vaultwarden的详细步骤,我可以为您提供相关的解答和建议,您可以提供更多的问题和细节信息,以便我为您提供更准确和详细的答案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

centreon~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值